КИИ. Методические рекомендации от АРСИБ по КИИ


Недавно АРСИБ обновили свой документ “Общие рекомендации по безопасности объектов критической информационной инфраструктуры организации” – теперь версия 2.0 и соответствие свежим правкам в законодательстве

Последний год на конференциях, вебинарах, блогах, соцсетях, телеграм-каналах задаются в общем то одни и те же вопросы из области КИИ: а мы субъект КИИ? а это объекты КИИ? а что писать? а куда отправлять? …

В отличие от ассоциации электросвязи, рабочая группа АРСИБ не сделала за вас вашей работы, но они постарались ответить все вопросы, которые вы только планируете задать. Поэтом предлагаю для начала ознакомится с этим методическим документом. Возможно, этого вам будет достаточно.  

“В главах данного пособия, авторы, специалисты практики в сфере информационной безопасности, концентрируются на рассмотрении проблемных вопросов, касающихся практического применения Закона «О безопасности КИИ».”

Тут обращу внимание на некоторые моменты, которые мне особенно понравились:
·        общая дорожная карта
  
·        какие документы смотреть при определении принадлежности к субъектам КИИ

·        сводная таблица инвентаризации ИС, АСУ, ИТКС

·        четкая классификация объектов КИИ. В том числе не забыли, что ИС, являющиеся ОКИИ могут быть разных видов

·        а от этого сильно зависит итоговый набор требований к системе

·        авторы обратили внимание на разницу понятий “объекта КИИ” и “объекта КИИ, подлежащего категорированию”, а также ответили на вопрос первичен перечень объектов или перечень процессов? о чем было сломано много копий.



·         пример анализа применимости критериев значимости к субъекту КИИ




·        этапы PDCA функционирования СОИБ ЗОКИИ и распределение мер по этапам

·        ключевой мерой этапа Мониторинга и контроля по мнению авторов является аудит ИБ (внутренний или внешний). Приводят рекомендуемую последовательность действий в рамках аудита

·        на этапе совершенствования рекомендуют использовать уровни зрелости процессов ИБ

·        вспомнили что при взаимодействии с ГосСОПКА кроме передачи информации об инцидентах, есть ещё и другие потоки

·        сделали примерный состав ОРД субъекта КИИ

·        есть и состав ОРД для взаимодействия с ГосСОПКА, шаблоны некоторых документов и даже свой FAQ.

Что приятно – указан состав рабочей группы, разработавшей документ: Константин Саматов, Михаил Кашаев, Лев Палей, Радмир Нафиков, Александр Мишурин, Николай Носов.
“… основной акцент в процессе рассмотрения был сделан на встречавшихся в практике авторов проблемных вопросах, с учетом которых формулировались основанные на своей, возможно пока и небольшой, практике рекомендации по обеспечению безопасности объектов КИИ, так как основная идея авторов пособия заключалась в том, чтобы создать некое наставление, которое бы позволило совершить меньше ошибок.”

Заключение: этот методический документ АРСИБ должен закрыть большинство ваших вопросов в области КИИ. 
Если какие-то вопросы ещё остались – попробуйте посмотреть наш FAQ по КИИ, там тоже много всего. 
Если и этого мало - приходите на наш предновогодний вебинар с Ксенией Шудровой, будем там в онлайне обсуждать ваши вопросы. Чтобы заранее спланировать каким темам уделить больше внимания, можно вопрос предварительно скинуть Ксении - она их собирает в своем блоге.    

Комментарии

Популярные сообщения из этого блога

Обзор правоприменительной практики по ПДн от рабочей группы РКН

Сравнение статей, связанных с информационной безопасностью в проекте нового КОАП РФ

Вопросы аудита по ГОСТ 57580.2