Как вы наверное знаете, сегодня на публичное рассмотрение выложен проект нормативного акта “ Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.
Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.
Порадовал он нас и новыми мерами в каталоге базовых набор мер:
1. Каждая группа мер дополнилась ещё одним нулевым (.0) пунктом, связанным с разработкой правил и процедур. Тут видимо ФСТЭК учел замечания об отсутствии явных требований к документированию процедур в предыдущих документах
Условное обозначение и номер меры
|
Меры защиты информации
в автоматизированных системах управления
|
Классы защищенности
| ||
3
|
2
|
1
| ||
VI. Антивирусная защита (АВЗ)
| ||||
АВЗ.0
|
Разработка правил и процедур (политик) антивирусной защиты
|
+
|
+
|
+
|
2. Добавились новые группы мер по обновлению ПО, планированию ИБ, действиях в непредвиденных ситуациях, обучению пользователей и анализу угроз
Условное обозначение и номер меры
|
Меры защиты информации
в автоматизированных системах управления
|
Классы защищенности
| ||
3
|
2
|
1
| ||
XV. Управление обновлениями программного обеспечения (ОПО)
| ||||
ОПО.0
|
Разработка правил и процедур (политик) управления обновлениями программного обеспечения (включая получения, проверку и установку обновлений)
|
+
|
+
|
+
|
ОПО.1
|
Получение обновлений программного обеспечения от разработчика или уполномоченного им лица
|
+
|
+
|
+
|
ОПО.2
|
Тестирование обновлений программного обеспечения до его установки на макете или в тестовой зоне
|
+
|
+
|
+
|
ОПО.3
|
Централизованная установка обновлений программного обеспечения
|
|
|
|
XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)
| ||||
ПЛН.0
|
Разработка правил и процедур (политик) планирования мероприятий по обеспечению защиты информации
|
+
|
+
|
+
|
ПЛН.1
|
Определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления
|
+
|
+
|
+
|
ПЛН.2
|
Разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления
|
+
|
+
|
+
|
ПЛН.3
|
Контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом
|
+
|
+
|
+
|
XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)
| ||||
ДНС.0
|
Разработка правил и процедур (политик) обеспечения действий в нештатных (непредвиденных) ситуациях
|
|
|
|
ДНС.1
|
Разработка плана действий в случае возникновения нештатных (непредвиденных) ситуаций
|
+
|
+
|
+
|
ДНС.2
|
Обучение и отработка действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций
|
+
|
+
|
+
|
ДНС.3
|
Создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций
|
+
|
+
|
+
|
ДНС.4
|
Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций
|
+
|
+
|
+
|
ДНС.5
|
Обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций
|
|
|
|
XVIII. Информирование и обучение пользователей (ИПО)
| ||||
ИПО.0
|
Разработка правил и процедур (политик) информирования и обучения пользователей
|
+
|
+
|
+
|
ИПО.1
|
Информирование пользователей об угрозах безопасности информации, о правилах эксплуатации
|
+
|
+
|
+
|
ИПО.0
|
Разработка правил и процедур (политик) информирования и обучения пользователей
|
+
|
+
|
+
|
ИПО.3
|
Проведение практических занятий с пользователями по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации
|
|
|
|
XIX.Анализ угроз безопасности информации и рисков от их реализации (УБИ)
| ||||
УБИ.0
|
Разработка правил и процедур (политик) анализа угроз безопасности информации и рисков от их реализации
|
+
|
+
|
+
|
УБИ.1
|
Периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации автоматизированной системы управления
|
+
|
+
|
+
|
УБИ.2
|
Периодическая переоценка последствий от реализации угроз безопасности информации (оценка риска)
|
+
|
+
|
+
|
3. Так-же добавились группы мер ИНЦ и УКФ по управлению инцидентами и конфигурацией, которые уже встречались в приказе 21 но отсутствовали в приказе 17 ФСТЭК Р.
Дополнительные группы мер исправляют перекос в сторону технических мер защиты и помогают обеспечить систему обеспечения ИБ необходимыми организационными мерами.
В будущем при обновлении приказов 17 и 21 можно ожидать включение в них этих новых групп мер. Но уже сейчас при разработке СЗПДн или подсистемы ИБ ГИС можно использовать эти новые наборы мер. Зачем придумывать свои варианты, если есть готовый и публично доступный документ – это хоть немного да улучшит взаимопонимание между различными лицами в сфере ИБ.
PS: Если говорить о самом новом проекте Требований по защите АСУ, то явно к его разработке приложили лапу проектные организации по АСУ. Доказательство:
Приказ 17
“4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее – заказчики) иоператоров государственных информационных систем (далее – операторы).
Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации”
проект Требования по защите АСУ
“ 4. Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик (проектировщик)).
11. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания и эксплуатации автоматизированной системы управления осуществляется заказчиком,оператором и (или) разработчиком (проектировщиком) самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации”
Как видно из числа иных лиц выделено лицо – “проектировщик” и приписано в один ряд с заказчиком и оператором. Получается так, что этот проектировщик выполняет работы для “себя” а не оказывает услуги и не должен иметь лицензий.
Далее произошла трансформация следующего пункта приказа 17:
“15. Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).
16. Внедрение системы защиты информации информационной системы организуется обладателем информации (заказчиком).”
в пункт Требований по защите АСУ
“15. Разработка системы защиты автоматизированной системы управления организуется заказчиком иосуществляется разработчиком (проектировщиком) и (или) оператором.
16. Внедрение системы защиты автоматизированной системы управления организуется заказчиком иосуществляется разработчиком (проектировщиком) и (или) оператором.”
Как видно заказчик не может привлекать других лиц к разработке и внедрению системы защиты кроме “проектировщика” и оператора. Налицо желание проектных организаций АСУ захватить в свои руки все работы – в том числе внедрение СЗИ, разработку организационных мер по ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты).
Я думаю что такое ограничение конкуренции не пойдет на руку Заказчику и преследует интересы узкой группы лиц.