КИИ. Методические рекомендации от Ассоциации документальной электросвязи



разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.

Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.

Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.

Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:
·        конкретные наименования для типовых объектов КИИ
·        суммы налоговых отчислений
·        допустимое время простоя из договоров
·        количество абонентов и зоны обслуживания
·        указать гос. органов которым предоставляют услуги связи

Выводы:
·        Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?
Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)

·        Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):
o   Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета





o   Обоснование неприменимости ряда показателей

o   Модель нарушителя (хотя по моему мнению она слишком суровая)


o   Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)



Комментарии

Комаров Валерий написал(а)…
Методика устаревшая и частично не актуальная.Построена на старой версии пп127. Смысл акцентировать в заметке внимание на методике расчёта бюджетного показателя, если теперь другой показатель и считается он иначе?
Сергей Борисов написал(а)…
Да, придется найти время и написать новую формулу... Ж)
Сергей Борисов написал(а)…
Ещё раз посмотрел. Из показателя убрали лишние подпоказатели, но то что осталось, считается по той же формуле. Так что просто убрал лишнее с картинки
Комаров Валерий написал(а)…
Это не так. Теперь период трехлетний. Усредненный за планируемый трехлетний период. Табличка 9 конечно пригодится для расчётов. Но формула расчёта другая.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3