Сегодня погрузился в изучение Приказа ФСТЭК России от 21 декабря 2017 года № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
Вот на что обратил внимание:
1. Это лишь один, и, на мой взгляд, самый простой из документов по безопасности КИИ (а точнее значимых объектов КИИ) от ФСТЭК России. На самом деле, все мы ждем финальную версию Приказа «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ», он содержит намного больше требований и именно он "выровнен" с Приказами 17/21/31.
2. Хотя в документах ФСТЭК России по КИИ говорится про "безопасность", но, по сути, имеется в виду только "информационная безопасность". Требования по физической, экологической безопасности, антитеррору, вопросам ГО и ЧС и другим видам "безопасности" надо искать где-то в других документах (и, похоже, других ведомств). Это немного сбивает при прочтении документов, ведь даже в Постановлении Правительства РФ №127, про которое я писал в прошлой заметке , некоторые аспекты "комплексной безопасности" учтены в перечне показателей критериев значимости...
3. Исправлена неточность из 187-ФЗ про "силы и средства" в части того, что можно привлекать внешних подрядчиков для обеспечения безопасности.
Теперь в явном виде сказано (в п.4), что ответственным за обеспечение безопасности могут быть только подразделения (работники) субъекта КИИ, а участвовать в обеспечении безопасности могут и иные:
Отдельно сказано про то, что внешние подрядчики должны обладать лицензиями в области защиты информации:
4. Определены требования по составу СЗИ (набор типовой) и наличию сертификатов соответствия. Неожиданно было здесь увидеть возможность проведения оценки соответствия в форме испытаний или приемки (но это скорее редкий случай):
5. В документе целый блок посвящен организацонно-распорядительным документам (ничего необычного, но самое важное - Планы мероприятий), а вот, встретив PDCA, я очень удивился.
Цикл, правда, не совсем классический, в частности "Контроль" предполагается проводить посредством "анализа защищенности" (его называют "оценкой эффективности") и/или "внешнего аудита", а вот важные для "Check" вопросы "измерения ИБ" и "анализа инцидентов ИБ" не рассматриваются...
6. Отдельно упоминаются вопросы обучения и повышения осведомленности персонала (не реже 1 раза в год):
В целом, документ получился полезным и удобным для работы с ним. Но, еще раз напомню, что это лишь часть требований по безопасности КИИ. Ждем еще и другие документы ФСТЭК России...