Сообщения

Сообщения за 2018

КИИ. Категорирование объектов, часть 4. Высокоуровневая оценка ущерба КИИ

Изображение
В предыдущих статьях я начал подробно разбирать этапы категорирования объектов КИИ, остановившись на формировании перечня объектов КИИ. Многие читатели просили меня продолжить и дать рекомендации по следующим этапам.   Изначально я придерживался позиции, что анализ нарушителей, угроз и последствий инцидентов необходимо осуществлять в рамках моделирования угроз и нарушителя. С одной стороны, с ПДн и ГИС эта тема достаточно хорошо проработана, есть много практики и в общем понятно, как это можно делать. С другой стороны (без использования средств автоматизации) моделирование угроз с учетом БДУ ФСТЭК – достаточно сложная и трудоемкая задача. Также тут много зависит от специфики конкретных систем и трудно дать какие-то общие рекомендации. После общения с регуляторами, коллегами и анализа объектов КИИ для заказчиков постепенно пришел к выводу, что анализ, требуемый при категорировании КИИ, это не совсем тот анализ, который мы традиционной проводили в рамках моделирования уг

(UPDATE) ИБ. Администратор безопасности VS Лицо, ответственное за безопасность

Изображение
При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.   Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю ... Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX ”. Аргументы за “лицо, ответственное за безопасность”: ·          Постановление правительства РФ №1119 пункт 14 ·          Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14