КИИ: Взаимосвязь мер и процессов из 239 и 235 приказов ФСТЭК России

КИИ: Взаимосвязь мер и процессов из 239 и 235 приказов ФСТЭК России
Приступая к реализации требований по обеспечению безопасности значимых ОКИИ часто возникает вопрос, а как коррелируют стадии (этапы) жизненного цикла из документа «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утв. приказом ФСТЭК России от 25.12.2017 N 239 (далее – 239-приказ ФСТЭК России), и процессы в рамках функционирования системы безопасности значимых ОКИИ из документа «Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования», утв. приказом ФСТЭК России от 21.12.2017 N 235 (далее – 235-приказ ФСТЭК России)?
Безусловно, можно не искать эту корреляцию и реализовывать требования 239-приказа и 235-приказа ФСТЭК России в параллель, не затрачивая время на увязку мероприятий и процессов. Но в данной заметке хотелось бы предложить и наглядно представить вариант данной взаимосвязи.
Итак, на стадиях (этапах) жизненного цикла значимого ОКИИ предусмотрено проведение следующих мероприятий (п. 8 239-приказ ФСТЭК России):
- установление требований к обеспечению безопасности значимого объекта;
- разработка организационных и технических мер по обеспечению безопасности значимого объекта;
- внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие;
- обеспечение безопасности значимого объекта в ходе его эксплуатации;
- обеспечение безопасности значимого объекта при выводе его из эксплуатации.
А в рамках функционирования системы безопасности значимого ОКИИ предусмотрено внедрение следующие процессы (п. 28 235-приказ ФСТЭК России):
- планирование и разработка мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
- реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
- контроль состояния безопасности значимых объектов критической информационной инфраструктуры;
- совершенствование безопасности значимых объектов критической информационной инфраструктуры.
Хотя, на первый взгляд, никакой проблемы быть не должно, сложность взаимосвязи мероприятий с процессами заключается в том, что, например, в блок мероприятий «Обеспечение безопасности в ходе эксплуатации» (на первый взгляд, это процесс «реализация») входят дополнительно элементы и «планирования», и «контроля».
Безусловно, можно сказать, что 235-приказ ФСТЭК России определят, в рамках планирования мероприятий только разработку и утверждение ежегодного плана мероприятий, но если посмотреть на это с точки зрения процессного цикла непрерывного совершенствования – PDCA, то все подготовительные мероприятия (определение ответственных, создание условий для реализации мероприятий и т.п.) включаются именно в этап «планирования».
Примерно такая же позиция может быть и по контролю состояния безопасности значимых ОКИИ – только ежегодный контроль, но есть предложение смотреть на это в более широком разрезе.
На рисунке ниже представлен вариант рассматриваемой взаимосвязи.
d731c775f9a52dc8e61675628afd8bbe.png
Успехов в обеспечении безопасности значимых ОКИИ!
КИИ ФСТЭК России
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только