На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
В отличие от предыдущего приказа по системе безопасности ЗО КИИ, данный приказ является более классическим и уже привычным нам. Сделал обзор в виде майд-карт его основных требований в сравнении с приказом ФСТЭК №31, которому он должен был стать логической заменой (как пророчили эксперты).
Документ можно разделить на 2 логических части:
· Требования обеспечения безопасности на различных этапах жизненного цикла значимых объектов КИИ
· Состав мер защиты (в приказе - организационных и технических мер, принимаемых для обеспечения безопасности значимых объектов КИИ)
1. Этап формирования требований
Основным новшеством является вынос работ по моделированию угроз с этого этапа в этап разработки мер ОБ. В итоге на этапе формирования требований осталось только категорирование и формирование ТЗ. Причем надо понимать, что такое ТЗ будет без учета актуальных угроз, без выбора конкретных меры защиты – придется обходится цитированием общих требований из новых приказов ФСТЭК.
2. Этап Разработки мер защиты
Из интересного тут можно отметить разрешение оценивать в основном только угрозы, связанные с компьютерными атаками. Уточнили что модель угроз может быть одна на несколько объектов, но только если они однотипные.
В документе в явном виде не сказано, на каком этапе и после каких мероприятий должен производится выбор мер защиты информации, но логически можно сделать вывод что это должен быть этап разработки мер защиты, после моделирования угроз.
В явном виде указана необходимость разработки обоснования, в случае если меры промышленной безопасности, физической безопасности или иные компенсирующие меры заменяют меры из базового набора мер защиты.
3. Этап внедрения мер защиты
Из интересного: потребовали выполнения эксплуатационной документации на СЗИ (а я в блоге регулярно обращаю внимание на сложности в реализации некоторых требований в ЭД и о том, что большинство пользователей игнорируют ограничения ЭД).
Также интересна детализация способов выявления узявимостей: тут и анализ перечней установленного ПО и сканирование по сети и пентесты.
4. На этапе эксплуатации и выводе из эксплуатации
Тут все аналогично приказу ФСТЭК России №31.
5. Состав мерам защиты
Для того чтобы оценить существенность изменений сделал сравнение мер из текущего документа и приказа ФСТЭК №31.
Отмечу что в новом приказе существенно сократили наименования мер защиты. (например, “Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации” -> “ Управление аутентификаторами”). Об этом ФСТЭК уже много раз просили и вот свершилось. Короткие наименования мер защиты гораздо удобнее использовать в проектной документации, при обсуждении, согласовании и другой коллективной работе. Аналогичные короткие имена применяются в NIST.
А для того чтобы разъяснить что скрывается под короткими наименованиями мер защиты, ФСТЭК России планирует ещё выпустить методический документ с содержанием и правилами реализации мер защиты КИИ.
В составе мер защиты также произошло много изменений - в основном они касались смены условного обозначения мер защиты и переносу меры в другую группу. Также появилось несколько новых мер защиты и рядом мер были расширены базовые наборы (новые +).
Также были удалены 4 блока мер защиты: АНЗ, ЗСВ, ОБР и УБИ.
Ну и напоследок несколько замечаний и вопросов к проекту приказа:
· В части КИИ у ФСТЭК есть 3 логических набора требований: требования по обеспечению безопасности на стадиях жизненного цикла ЗО КИИ, требования к созданию системы обеспечения безопасности ЗО КИИ и требования к мерам ОБ.
Не увидел четкого и логичного разделения между этими требованиями. Сейчас какая-то каша и много дублирований. Было бы логичнее перенести требования к ОБ на различных этапах – в приказ по системе ОБ; а в этом приказе оставить какие-то общие требования, перенести требования к процессам ОБ.
· В пункте 13.6 есть невыполнимое требование “По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, как минимум, отсутствуют уязвимости, содержащиеся …, а также в иных источниках …”. Так множество источников не ограничено, то даже минимума мы никогда не достигнем…
· В пункте 19 требуется обеспечить нейтрализацию угроз, актуальных на каждом уровне ЗО. При этом ни в БДУ ни в самом документе эти уровни больше нигде не упоминаются. Что хотят от нас? Принимать меры защиты на каждом уровне? При анализе угроз разбивать все угрозы по уровням?
· В пункте 16 говорится что “Безопасность ЗО обеспечивается принятием организационных мер и применением средств защиты информации, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования значимого объекта”. Значит ли это что угрозы с иными последствиями меры защиты не нужны – их можно сразу отбрасывать?
· Требования в пункте 22 звучат так, что в случае если у меня объект 1 категории, то я должен считать, что для меня актуальны все угрозы связанные с нарушителем высокого потенциала, а значит актуальны все угрозы.
Либо имелось в виду что для меня должен быть установлен актуальным нарушитель с высоким потенциалом? Почему бы так и не написать…
· Там же в 22 пункте ещё одна нестыковка: “нарушителя с потенциалом не ниже базового повышенного уровня”… при этом в БДУ ФСТЭК у нас только 3 типа: высокий, средний, низкий. Что за “повышенный”?
· В составе мер: ЗИС.17 (защита от утечек информации) включает в себя ЗТС.1 (защита от утечек информации по ТК). Надо переформулировать
