СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ
Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан иопубликован . Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.

На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.

Это дает основания полагать что в ближайшие год-два ничего существенного в порядках защиты ИСПДн, ГИС не поменяется. Поэтому хватить совершенствовать законодательство и выжидать – пора размораживать проекты и реализовывать систему защиты.

Методический документ по защите ГИС, может так-же использоваться в процессе создания СЗПДн. Я считаю разумным применение методического документа  для большинства ИСПДн в тех частях, где это не создает дополнительных затрат и не увеличивает сроков создания СЗПДн.

С учетом методического документа и новых требований по защите АСУ   обновил схемы порядков создания систем защиты (не включая эксплуатацию и вывод из действия)  и состав основных документов, получаемых в результате.

Для ГИС








Для АСУ



Для ИСПДн




Для обработки ПДн по поручению



Так-же рекомендую использовать общий каталог мер защиты, пример которого выложил Андрей Прозоров


В ходе составления схем вылезла ещё одна ошибка в документах.
Приказ №17
“Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
·       
·        требования к мерам и средствам защиты информации, применяемым в информационной системе;…”
Исполняя этот пункт мы должны определить перечень мер и даже СЗИ до разработки ТЗ и включить их в ТЗ.

Но тот же Приказ №17 говорит нам:
15.1. При проектировании системы защиты информации информационной системы:
·       
·        выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;…”
Методический документ  по защите:
·        “Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.”
На этапе проектирования опять выбираются меры? Но разве они не были выбраны на этапе разработки ТЗ?

Тут, я думаю, ФСТЭК Р попал в ловушку своей терминологии. Скорее всего под “Выбор мер …для их реализации ” имеется в виду что на этапе проектирования мы выбираем “конкретные способы реализации мер”.









СОИБ Анализ СЗПДн ГИС АСУ ТП
Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!