понедельник, 4 декабря 2017 г.

КИИ. Требования ФСТЭК к системам ОБ КИИ

На официальном портале размещен проект приказа ФСТЭК России “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”.

Документ получился в новом для ФСТЭК России формате (речь не о “дружелюбном” оформлении для домохозяек, а про содержание), поэтому интересное было изучить его подробнее. Скорее всего он будет принят без существенных изменений (хотя некоторые вопросы по тексту есть…) поэтому делюсь с вами майнд-картами по наиболее значимым требованиям. Красным выделил новые требования, ранее не встречавшиеся в документах по защите ПДн, ГИС, АСУ ТП.

Не считая общих положений документ содержит 4 группы требований к системе безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (СБ):
  
Про Требования к силам обеспечения безопасности объекта критической информационной инфраструктуры (ОБ КИИ) можно отметить требования к образованию лиц ответственных за ОБ КИИ, в том числе переподготовку раз в 5 лет – такое раньше было только для лицензиатов. Про недопустимость назначения на ответственного за ОБ КИИ функций, не связанных с ИБ хорошая новость. И требования к повышению осведомленности пользователей – тоже весьма актуально.

Про требования к средствам ОБ КИИ – к ним отнесли только СЗИ. Правда функции защиты от НСД встроенные о операционную систему и прикладное ПО тоже причислили к СЗИ. Из нового – это возможность оценки в соответствия в форме отличной от сертификации, но в этот раз ограниченное количество вариантов: испытания или приемка в соответствии с программой и методикой испытаний (я кстати писал об этом варианте ранее).
Спорный момент про то, должны ли производители предоставлять обновления безопасности бесплатно или в рамках платной техподдержки решился в сторону последнего.

Про требования к документам по ОБ КИИ – тут весь раздел можно отнести к новинкам. В Требованиях от ФСТЭК раньше таких подробных требований к документам ИБ мы не видели. Требования в общем то все здравые, избыточного не заметил. Я бы наоборот добавил ещё нужных документов.

Про требования к организации работ по ОБ КИИ. Если под организацией работ понимать управление ИБ, то получается классический цикл деминга PDCA. Из интересного – это ежегодный контроль состояния безопасности, по сравнению с 3х летним по ПДн, ГИС.

  
 Ну и напоследок несколько замечаний и вопросов к проекту приказа:
·         Не смотря на название документа, в нем очень мало про “создание” систем. Какие этапы? Что на каком этапе делаем? Например, нужно ли проектирование? Применяется ли ГОСТ на создание АС в защищенном исполнении?
·         Предложения по совершенствованию документов СБ упоминаются отдельно, хотя входят в предложения по совершенствованию функционирования СБ
·         Не совсем понятно, что такое уровень безопасности объектов КИИ, как его определить и повышать?
·         Не совсем понятно, зачем в 17 пункте приведены некоторые типы СЗИ. Это СЗИ которые обязательно должны быть или просто примеры возможных вариантов?
·         Пятый раздел с требованиями к организации работ ОБ КИИ представляется наименее проработанным. В нем фактически нет требований, которые обязывали бы иметь какие-либо свидетельства. Детализация низка…. На этапе контроля осуществляется контроль. На этапе совершенствования – совершенствование.  Как потом проверить, было оно или нет?
·         Нет требований, зависящих от категории значимости объекта КИИ. Хотя логичнее было бы возложение дополнительных требований на наиболее значимые объекты КИИ.

    

8 комментариев:

Saches комментирует...

Вопрос по одному из требованиям к СЗИ - "..не должны иметь возможность неконтролируемого управления, обновления или скрытой передачи производителю и иным лицам".
Это что? Необходимость проведения контроля СЗИ на НДВ?
И если это так, то как можно не проводя сертификации СЗИ как СЗИ, провести контроль на НДВ?

Сергей Борисов комментирует...

Скорее что не должно быть таких "декларированных возможностей".

Либо в следующем приказе ФСТЭК с требованиями к мерам защиты будет уточняться что для систем такой то категории необходим контроль НДВ. Пока не будет в явном виде написано про контроль НДВ, не делаем...

Saches комментирует...

Спасибо за оперативный ответ!
С другой стороны, ни разу не видел, что бы в документации на СЗИ явно указывалось что-то типа -"...имеется возможность неконтролируемого управления, обновления и скрытой передачи информации производителю и/или иным лицам..."

Сергей Борисов комментирует...

На сколько я знаю в оборудовании АСУ ТП и некотором прикладном ПО такое встречается, в том числе прописано в лицензии. Естественно формулировки там помягче.
"Производитель имеет возможность удаленного доступа для оперативного решения проблем"
"Производитель устанавливает обновления ПО"

У некоторых производителей АСУ ТП так устроена политика лицензирования, что ПО постоянно передает вендору информацию и пользователь не может ограничить этот трафик, иначе система не проходит проверку на лицензионность и отключает функции управления.

Nikita Gruzin комментирует...

А что в итоге с водоснабжением, когда будут разъяснения на эту тему, под какую сферу деятельности подпадают водоканалы?

Roman S комментирует...

***Из нового – это возможность оценки в соответствия в форме отличной от сертификации, но в этот раз ограниченное количество вариантов: испытания или приемка в соответствии с программой и методикой испытаний (я кстати писал об этом варианте ранее).***

Интересно, что в другом - 31 приказе фстэк говорится что Приемочные испытания могут быть заменены Аттестацией. Они получает проводят знак равенства между этими понятиями. Хотя на мой взгляд аттестация это несколько более широкое понятие.

Сергей Борисов комментирует...

Знака равенства нет. Просто в ФЗ о техрегулировании упоминаются разные варианты оценки соответствия. Там и аттестация и приемочные испытания и другие варианты.

ФСТЭК в данном случае ограничил возможные варианты оценки соответствия СЗИ для КИИ (откинули совсем не уместные).

Сергей Борисов комментирует...

Nikita: водоканалы попадают только если входят в энергетику. http://www.leading-energy.ru/