ТБ Форум.
Краткий обзор конференции «Актуальные вопросы защиты информации» (в части обеспечения безопасности критической информационной инфраструктуры Российской Федерации) 1. В структуре технического комитета по стандартизации «Защита информации» (ТК 362) образовано 4 подкомитета: ПК 1 (общеметодологический), ПК 2 (Защита информации на объектах информатизации объектов критической информационной инфраструктуры), ПК 3 (Средства и методы защиты информации) и ПК 4 (разработка безопасного программного обеспечения).
2. В ФСТЭК России от 1100 субъектов КИИ были заявлены на категорирование более 28000 объектов КИИ. При этом о 2000 объектах КИИ получены сведения о результатах категорирования. Из них возвращено на доработку 610.
3. Вслед за изменениями в ПП-127 планируется внести следующие изменения в нормативно-правовые акты ФСТЭК России:
3.1. В приказ ФСТЭК России от 22 декабря 2017 г. № 236 планируется внести изменения, касающиеся включения в предоставляемую информацию сведений о:
типе объекта КИИ (ИС, ИТС, АСУ);
ИНН субъекта и КПП его обособленных подразделений, филиалов, представительств, в которых размещаются сегменты распределенного объекта;
ИНН лица, эксплуатирующего объект, и КПП его обособленных подразделений, филиалов, представительств, в которых размещаются сегменты распределенного объекта;
Наименование оператора связи и(или) провайдера хостинга, а также выделенный блок маршрутизируемых IP-адресов.
3.2. В приказ ФСТЭК России от 21 декабря 2017 г. № 235 планируется внести изменения, направленные на:
уточнение требований к обеспечению безопасности вновь создаваемых объектов КИИ;
уточнение требований к уровню образования (подготовки) работников подразделений, обеспечивающих безопасность объектов КИИ;
уточнение возможности применения иных программных и программно-аппаратных средств, реализующих функции безопасности.
3.3. В приказ ФСТЭК России от 25 декабря 2017 г. № 239 планируется внести изменения, предусматривающие:
уточнение вопросов создания систем обеспечения безопасности для нескольких объектов;
внедрение мер доверия;
размещение применяемых в значимом объекте КИИ программных и программно-аппаратных средств, в том числе СЗИ, на территории Российской Федерации.
4. ФСТЭК России планирует разработать пакет методических документов, включающий:
4.1. Методику категорирования объектов КИИ.
4.2. Методики оценки показателей, состоящие из Методики оценки показателей критериев экономической значимости ОКИИ, Методики оценки показателей критериев социальной значимости ОКИИ, Методики оценки показателей критериев экологической значимости ОКИИ.
4.3. Документы по моделированию угроз безопасности, включающие Типовые модели угроз безопасности информации в зависимости от типа объекта и Базовые модели угроз безопасности типового ОКИИ в различных сферах.
Как было отмечено представителем ФСТЭК России указанные методические документы будут выпускаться постепенно (конкретные сроки не назывались, а сам представитель ФСТЭК России жаловался на нехватку сил в этом направлении), поэтому регулятор не рекомендует останавливать процесс категорирования в их ожидании. Более того, указанные методические документы будут носить характер информации ограниченного распространения, поэтому порядок их получения будет уточняться посредством публикации соответствующих информационных сообщений.
В настоящий момент регулятор рекомендует при категорировании учитывать БДУ ФСТЭК России (под который, кстати, ФСТЭК России планирует выпустить специальное приложение для ОС Windows и Linux).
