Недавно был опубликован документ " Методическиерекомендации по категорированию объектов критической информационнойинфраструктуры, принадлежащих субъектам критической информационнойинфраструктуры, функционирующим в сфере связи "
разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.
Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.
Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.
Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:
· конкретные наименования для типовых объектов КИИ
· суммы налоговых отчислений
· допустимое время простоя из договоров
· количество абонентов и зоны обслуживания
· указать гос. органов которым предоставляют услуги связи
Выводы:
· Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?
Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)
· Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):
o Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета
o Обоснование неприменимости ряда показателей
o Пример как обосновывается отсутствие необходимости проводить оценку ущерба бюджетам государственных внебюджетных фондов – а просто говорим что не выявлено цепочки событий, приводящих к ущербу фондам
o Модель нарушителя (хотя по моему мнению она слишком суровая)
o Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)
