СОИБ. Анализ. Добавления к каталогу мер защиты от ФСТЭК

Как вы наверное знаете, сегодня на публичное рассмотрение выложен проект нормативного акта “ Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.

Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.

Порадовал он нас и новыми мерами в каталоге базовых набор мер:
1.      Каждая группа мер дополнилась ещё одним нулевым (.0) пунктом, связанным с разработкой правил и процедур.  Тут видимо ФСТЭК учел замечания об отсутствии явных требований к документированию процедур в предыдущих документах
Условное обозначение и номер меры
Меры защиты информации
в автоматизированных системах управления
Классы защищенности
3
2
1
VI. Антивирусная защита (АВЗ)
АВЗ.0
Разработка правил и процедур (политик) антивирусной защиты
+
+
+

2.      Добавились новые группы мер по обновлению ПО, планированию ИБ, действиях в непредвиденных ситуациях, обучению пользователей и анализу угроз
Условное обозначение и номер меры
Меры защиты информации
в автоматизированных системах управления
Классы защищенности
3
2
1
XV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0
Разработка правил и процедур (политик) управления обновлениями программного обеспечения (включая получения, проверку и установку обновлений)
+
+
+
ОПО.1
Получение обновлений программного обеспечения от разработчика или уполномоченного им лица
+
+
+
ОПО.2
Тестирование обновлений программного обеспечения до его установки на макете или в тестовой зоне
+
+
+
ОПО.3
Централизованная установка обновлений программного обеспечения



XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)
ПЛН.0
Разработка правил и процедур (политик) планирования мероприятий по обеспечению защиты информации
+
+
+
ПЛН.1
Определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления
+
+
+
ПЛН.2
Разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления
+
+
+
ПЛН.3
Контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом
+
+
+
XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)
ДНС.0
Разработка правил и процедур (политик) обеспечения действий в нештатных (непредвиденных) ситуациях



ДНС.1
Разработка плана действий в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.2
Обучение и отработка действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.3
Создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.4
Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.5
Обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций



XVIII. Информирование и обучение пользователей (ИПО)
ИПО.0
Разработка правил и процедур (политик) информирования и обучения пользователей
+
+
+
ИПО.1
Информирование пользователей об угрозах безопасности информации, о правилах эксплуатации
+
+
+
ИПО.0
Разработка правил и процедур (политик) информирования и обучения пользователей
+
+
+
ИПО.3
Проведение практических занятий с пользователями по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации



XIX.Анализ угроз безопасности информации и рисков от их реализации (УБИ)
УБИ.0
Разработка правил и процедур (политик) анализа угроз безопасности информации и рисков от их реализации
+
+
+
УБИ.1
Периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации автоматизированной системы управления
+
+
+
УБИ.2
Периодическая переоценка последствий от реализации угроз безопасности информации (оценка риска)
+
+
+

3.      Так-же добавились группы мер ИНЦ и УКФ по управлению инцидентами и конфигурацией, которые уже встречались в приказе 21 но отсутствовали в приказе 17 ФСТЭК Р.

Дополнительные группы мер исправляют перекос в сторону технических мер защиты и помогают обеспечить систему обеспечения ИБ необходимыми организационными мерами.

В будущем при обновлении приказов 17 и 21 можно ожидать включение в них этих новых групп мер. Но уже сейчас при разработке СЗПДн или подсистемы ИБ ГИС можно использовать эти новые наборы мер. Зачем придумывать свои варианты, если есть готовый и публично доступный документ – это хоть немного да улучшит взаимопонимание между различными лицами в сфере ИБ.


PS: Если говорить о самом новом проекте Требований по защите АСУ, то явно к его разработке приложили лапу проектные организации по АСУ. Доказательство:

Приказ 17
“4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее – заказчики) и операторов государственных информационных систем (далее – операторы).
Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации”
проект Требования по защите АСУ
4. Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик (проектировщик)).
11. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком (проектировщиком) самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации”
Как видно из числа иных лиц выделено лицо – “проектировщик” и приписано в один ряд с заказчиком и оператором. Получается так, что этот проектировщик выполняет работы для “себя” а не оказывает услуги и не должен иметь лицензий.


Далее произошла трансформация следующего пункта приказа 17:
“15. Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).
16. Внедрение системы защиты информации информационной системы организуется обладателем информации (заказчиком).”
в пункт Требований по защите АСУ
“15. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком (проектировщиком) и (или) оператором.
16. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком (проектировщиком) и (или) оператором.”

Как видно заказчик не может привлекать других лиц к разработке и внедрению системы защиты кроме “проектировщика” и оператора. Налицо желание проектных организаций АСУ захватить в свои руки все работы  – в том числе внедрение СЗИ, разработку организационных мер по ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты).

Я думаю что такое ограничение конкуренции не пойдет на руку Заказчику и преследует интересы узкой группы лиц.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...