Главная » Блоги Экспертов И ИТ-Компаний » КИИ. Методические рекомендации от Ассоциации документальной электросвязи

КИИ. Методические рекомендации от Ассоциации документальной электросвязи

разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.
Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.
Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.
Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:
·        конкретные наименования для типовых объектов КИИ
·        суммы налоговых отчислений
·        допустимое время простоя из договоров
·        количество абонентов и зоны обслуживания
·        указать гос. органов которым предоставляют услуги связи
Выводы:
·        Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?
Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)
·        Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):
o   Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета
%25D0%25B1%25D1%258E%25D0%25B4%25D0%25B6%25D0%25B5%25D1%2582%25D1%258B%2B2.png
%25D0%25B1%25D1%258E%25D0%25B4%25D0%25B6%25D0%25B5%25D1%2582%25D1%258B.png
o   Обоснование неприменимости ряда показателей
%25D0%25BE%25D0%25B1%25D0%25BE%25D1%2581%25D0%25BD%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F.png
o   Модель нарушителя (хотя по моему мнению она слишком суровая)
%25D0%25BD%25D0%25B0%25D1%2580%25D1%2583%25D1%2588%25D0%25B8%25D1%2582%25D0%25B5%25D0%25BB%25D0%25B8.png
o   Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)


Источник: https://sborisov.blogspot.com/2019/07/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>