КИИ. Обязательные документы


При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень


Для владельцев значимых объектов КИИ перечень существенно больше
В хорошем качестве можно скачать PDF 

Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум.


Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИИ. Также для многих процессов, может быть недостаточно политики и порядка – могут понадобится дополнительные инструкции или документы, возникающие в результате процесса.
Пока получается что в области КИИ требования к организационным мерам и документированию более сильные чем в других сферах.    

Но конечно возможна и оптимизация. Можно объединять документы в более крупные, делать документы сразу по нескольким темам, но это вопрос уже других статей.  

Думаю, что далее буду более подробно рассматривать отдельные процессы и документацию по ним. Вас также прошу высказываться по поводу документов, может быть есть альтернативное виденье или дополнение к тому что приведено в статье.


Комментарии

Комаров Валерий написал(а)…
Считаю, что для незначимых объектов КИИ обязательны регламенты выявления и реагирования на компьютерные инциденты. Обязанность уведомлять НКЦКИ никто с них не снял.
12 октября 2018 г. в 10:36
Комаров Валерий написал(а)…
документы из вашего перечня - 44,46,47,49,52,53,54. Должны быть у любого субъекта КИИ, вне зависимости от типа объекта КИИ.
12 октября 2018 г. в 10:40
Комаров Валерий написал(а)…
Собственно, требования приказов ФСБ вообще не отражены в этом перечне.
12 октября 2018 г. в 10:43
Сергей Борисов написал(а)…
для субъектов КИИ с незначимыми объектами эти документы могут быть, но не обязательно. вместо всех этих как вариант может быть какой то один документ по компьютерным инцидентам

в утвержденных пока приказах ФСБ нет ни одного явного требования к документам.
а я выбирал минимум: либо когда документы были упомянуты прямым текстом, либо когда явно было написано что надо назначить, определить, учитывать или формировать что-то
12 октября 2018 г. в 12:42
Сергей Борисов написал(а)…
Хотя пожалуй добавлю ссылку на 236 приказ, как содержащий требования к составу информации о компьютерном инциденте предоставляемой в НКЦКИ форму для которой логично приложить к порядку взаимодействия с ГосСОПКА.

Правда жду сейчас от них некоторых разъяснений.
12 октября 2018 г. в 12:51
Сергей Борисов написал(а)…
Немного обновил по результатам обсуждения + выложил в лучшем качестве картинку + pdf
15 октября 2018 г. в 00:59
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...