В Telegram-чате КИИ 187-ФЗ, конечно, всё ещё задаются вопросы об особенностях Категорирования объектов критической информационной инфраструктуры и даже порой возникают обсуждения по поводу того, какие объекты КИИ бывают и как правильно читать определения из 187-ФЗ, но наряду с этим понемногу начинает формироваться и практический интерес уже непосредственно к системам безопасности объектов КИИ (СБоКИИ).

Как известно, два основных документа, задающие соответствующие требования в этом вопросе — это соответствующие приказы:

• Приказ ФСТЭК России №235 от 21.12.2017 (ред. 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
• Приказ ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»

Документы достаточно объёмные и содержательные, но, как справедливо отметил в своём докладе мой коллега Николай Домуховский, чаще всего смотрят на таблицу мер в приложении к Приказу 239, что, конечно, явно недостаточно.

Тем не менее, таблица есть, набор базовых мер для каждой из категорий значимости в ней установлен и пройти мимо неё при создании СБоКИИ не выйдет.

При этом в тексте Приказа ФСТЭК №239 в пункте 5 есть важное уточнение:

5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

Кроме того, в Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО…» в прошлом году был добавлен абзац:

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).

Таким образом, при выполнении проекта по созданию СБоКИИ тесно увязанными между собой становятся Приказы ФСТЭК №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ). При этом таблицы с мерами защиты есть в каждом из них:

• Приказ 17 — Меры защиты информации в информационных системах;
• Приказ 21 — Содержание мер по обеспечению безопасности персональных данных;
• Приказ 31 — Меры защиты информации в автоматизированных системах управления;
• Приказ 239 — Меры обеспечения безопасности значимого объекта.

Стоит ещё отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС (ИТКС, АСУ) необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое):

Наложение различных требований друг на друга

Именно по этой причине потратил немного времени и свёл в одну таблицу наборы мер из всех четырёх приказов, сгруппировав их по соответствующим разделам. Пример итогового результата (начальная часть таблицы) на скриншоте ниже:

Меры из приказов ФСТЭК (скриншот первой части таблицы)

Пр этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.

В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.

Например, мера с одним и тем же кодом ЗИС.21:

• в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
• в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
• а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).

Не особо понимаю, зачем так надо было делать.

Наименование: Проект приказа ФСТЭК России «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239»

Ссылка: Проект 01/02/07-18/00082028 ФСТЭК России 05.07.2018

Статус: Принят

Основные изменения:

• Планируется явно указать, что приказ ФСТЭК №31 распространяется только на АСУ ТП, не являющиеся значимыми объектами критической информационной инфраструктуры Российской Федерации.
• Состав мер защиты информации и их базовые наборы в приказе ФСТЭК №31 (та самая таблица в Приложении к Приказу) будут приведены в полное соответствие с составом мер по обеспечению безопасности значимого объекта КИИ в приказе ФСТЭК №239. Только в 31 приказе привязка идёт к классам защищённости АСУ, а в 239 — к категориям значимости.
• Порядок определения угроз безопасности информации в приказе ФСТЭК №31 также приводится в соответствие с таковым в приказе ФСТЭК №239.
• В качестве ещё одной организационной меры защиты информации дополнительно указывается «определение администратора безопасности информации».

Текст: Текст, Пояснительная записка

ФСТЭК России запустил общественные обсуждения и антикоррупционную экспертизу проекта приказа ФСТЭК России «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21» .

Основное изменение заключается в следующем. При использовании в информационных системах сертифицированных по требованиям безопасности информации СЗИ необходимо установить также сертификацию средств защиты по уровням доверия в соответствии с требованиями по безопасности информации, которые определяют уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Требования по безопасности информации утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

Эксперты группы компаний Angara напоминают, что ФСТЭК России установил шесть уровней доверия (самый низкий уровень – шестой, самый высокий – первый), где:

• Средства, соответствующие шестому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры третьей категории, в государственных информационных системах третьего класса защищенности, в автоматизированных системах управления производственными и технологическими процессами третьего класса защищенности, в информационных системах персональных данных при необходимости обеспечения третьего и четвертого уровня защищенности персональных данных.

• Средства, соответствующие пятому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры второй категории, в государственных информационных системах второго класса защищенности, в автоматизированных системах управления производственными и технологическими процессами второго класса защищенности, в информационных системах персональных данных при необходимости обеспечения второго уровня защищенности персональных данных.

• Средства, соответствующие четвертому уровню доверия, применяются в значимых объектах критической информационной инфраструктуры первой категории, в государственных информационных системах первого класса защищенности, в автоматизированных системах управления производственными и технологическими процессами первого класса защищенности, в информационных системах персональных данных при необходимости обеспечения первого уровня защищенности персональных данных, в информационных системах общего пользования второго класса.

• Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Основные требования для получения определенного уровня доверия относятся к процессу разработки средств защиты, выявлению уязвимостей и недекларированных возможностей.