КИИ. Методические рекомендации от Ассоциации документальной электросвязи



разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.

Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.

Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.

Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:
·        конкретные наименования для типовых объектов КИИ
·        суммы налоговых отчислений
·        допустимое время простоя из договоров
·        количество абонентов и зоны обслуживания
·        указать гос. органов которым предоставляют услуги связи

Выводы:
·        Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?
Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)

·        Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):
o   Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета





o   Обоснование неприменимости ряда показателей

o   Модель нарушителя (хотя по моему мнению она слишком суровая)


o   Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)



Комментарии

Комаров Валерий написал(а)…
Методика устаревшая и частично не актуальная.Построена на старой версии пп127. Смысл акцентировать в заметке внимание на методике расчёта бюджетного показателя, если теперь другой показатель и считается он иначе?
Сергей Борисов написал(а)…
Да, придется найти время и написать новую формулу... Ж)
Сергей Борисов написал(а)…
Ещё раз посмотрел. Из показателя убрали лишние подпоказатели, но то что осталось, считается по той же формуле. Так что просто убрал лишнее с картинки
Комаров Валерий написал(а)…
Это не так. Теперь период трехлетний. Усредненный за планируемый трехлетний период. Табличка 9 конечно пригодится для расчётов. Но формула расчёта другая.

Популярные сообщения из этого блога

Лучшие практики. Руководство по управлению уязвимостями от OWASP

Лучшие практики. Модель угроз ИБ для 2020 от ENISA

Новый ГОСТ по обнаружению КА и реагированию на инциденты