Главная » Блоги Экспертов И ИТ-Компаний » КИИ. Методические рекомендации от АРСИБ по КИИ

КИИ. Методические рекомендации от АРСИБ по КИИ

Недавно АРСИБ обновили свой документ “Общие рекомендации по безопасности объектов критической информационной инфраструктуры организации” – теперь версия 2.0 и соответствие свежим правкам в законодательстве
Последний год на конференциях, вебинарах, блогах, соцсетях, телеграм-каналах задаются в общем то одни и те же вопросы из области КИИ: а мы субъект КИИ? а это объекты КИИ? а что писать? а куда отправлять? …
В отличие от ассоциации электросвязи, рабочая группа АРСИБ не сделала за вас вашей работы, но они постарались ответить все вопросы, которые вы только планируете задать. Поэтом предлагаю для начала ознакомится с этим методическим документом. Возможно, этого вам будет достаточно.  
“В главах данного пособия, авторы, специалисты практики в сфере информационной безопасности, концентрируются на рассмотрении проблемных вопросов, касающихся практического применения Закона «О безопасности КИИ».”
Тут обращу внимание на некоторые моменты, которые мне особенно понравились:
·        общая дорожная карта
%25D0%2594%25D0%25BE%25D1%2580%25D0%25BE%25D0%25B6%25D0%25BD%25D0%25B0%25D1%258F%2B%25D0%25BA%25D0%25B0%25D1%2580%25D1%2582%25D0%25B0.png
  
·        какие документы смотреть при определении принадлежности к субъектам КИИ
%25D0%25BF%25D0%25B5%25D1%2580%25D0%25B5%25D1%2587%25D0%25B5%25D0%25BD%25D1%258C%2B%25D0%25B8%25D1%2581%25D1%2585%25D0%25BE%25D0%25B4%25D0%25BD%25D1%258B%25D1%2585%2B%25D0%25B4%25D0%25BE%25D0%25BA%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%25D0%25BE%25D0%25B2.png
·        сводная таблица инвентаризации ИС, АСУ, ИТКС
%25D0%25B8%25D0%25BD%25D0%25B2%25D0%25B5%25D0%25BD%25D1%2582%25D0%25B0%25D1%2580%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2586%25D0%25B8%25D1%258F%2B%25D0%2598%25D0%25A1.png
·        четкая классификация объектов КИИ. В том числе не забыли, что ИС, являющиеся ОКИИ могут быть разных видов
%25D0%25BF%25D0%25BE%2B%25D0%25B2%25D0%25B8%25D0%25B4%25D0%25B0%25D0%25BC%2B%25D0%2598%25D0%25A1.png
·        а от этого сильно зависит итоговый набор требований к системе
%25D0%25BF%25D0%25BE%2B%25D0%259D%25D0%259F%25D0%2590_.png
·        авторы обратили внимание на разницу понятий “объекта КИИ” и “объекта КИИ, подлежащего категорированию”, а также ответили на вопрос первичен перечень объектов или перечень процессов? о чем было сломано много копий.
%25D0%25BF%25D0%25BE%2B%25D0%259D%25D0%259F%25D0%2590.png
%25D0%25BF%25D1%2580%25D0%25BE%2B%25D0%25BE%25D0%25B1%25D1%258A%25D0%25B5%25D0%25BA%25D1%2582%25D1%258B%2B%25D0%25B8%2B%25D0%25BF%25D1%2580%25D0%25BE%25D1%2586%25D0%25B5%25D1%2581%25D1%2581%25D1%258B%2B%25D0%259A%25D0%2598%25D0%2598.png
·         пример анализа применимости критериев значимости к субъекту КИИ
%25D0%25B0%25D0%25BD%25D0%25B0%25D0%25BB%25D0%25B8%25D0%25B7%2B%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25BC%25D0%25BE%25D1%2581%25D1%2582%25D0%25B8%2B%25D0%25BA%25D1%2580%25D0%25B8%25D1%2582%25D0%25B5%25D1%2580%25D0%25B8%25D0%25B5%25D0%25B2%2B%25D0%25BA%2B%25D0%25BE%25D0%25B1%25D1%258A%25D0%25B5%25D0%25BA%25D1%2582%25D1%2583.png
·        этапы PDCAфункционирования СОИБ ЗОКИИ и распределение мер по этапам
%25D1%258D%25D1%2582%25D0%25B0%25D0%25BF%25D1%258B%2B%25D0%25A1%25D0%259E%25D0%2598%25D0%2591%2B%25D0%2597%25D0%259E%25D0%259A%25D0%2598%25D0%2598.png
·        ключевой мерой этапа Мониторинга и контроля по мнению авторов является аудит ИБ (внутренний или внешний). Приводят рекомендуемую последовательность действий в рамках аудита
%25D1%258D%25D1%2582%25D0%25B0%25D0%25BF%25D1%258B%2B%25D0%25B0%25D1%2583%25D0%25B4%25D0%25B8%25D1%2582%25D0%25B0%2B%25D0%2598%25D0%2591.png
·        на этапе совершенствования рекомендуют использовать уровни зрелости процессов ИБ
%25D0%25B7%25D1%2580%25D0%25B5%25D0%25BB%25D0%25BE%25D1%2581%25D1%2582%25D0%25B8%2B%25D0%25BF%25D1%2580%25D0%25BE%25D1%2586%25D0%25B5%25D1%2581%25D1%2581%25D0%25BE%25D0%25B2%2B%25D0%2598%25D0%2591.png
·        вспомнили что при взаимодействии с ГосСОПКА кроме передачи информации об инцидентах, есть ещё и другие потоки
%25D0%25BF%25D1%2580%25D0%25BE%2B%25D0%25B2%25D0%25B7%25D0%25B0%25D0%25B8%25D0%25BC%25D0%25BE%25D0%25B4%25D0%25B5%25D0%25B9%25D1%2581%25D1%2582%25D0%25B2%25D0%25B8%25D0%25B5%2B%25D1%2581%2B%25D0%2593%25D0%25BE%25D1%2581%25D0%25A1%25D0%259E%25D0%259F%25D0%259A%25D0%2590.png
·        сделали примерный состав ОРД субъекта КИИ
%25D1%2581%25D0%25BE%25D1%2581%25D1%2582%25D0%25B0%25D0%25B2%2B%25D0%259E%25D0%25A0%25D0%2594_.png
·        есть и состав ОРД для взаимодействия с ГосСОПКА, шаблоны некоторых документов и даже свой FAQ.
Что приятно – указан состав рабочей группы, разработавшей документ: Константин Саматов, Михаил Кашаев, Лев Палей, Радмир Нафиков, Александр Мишурин, Николай Носов.
“… основной акцент в процессе рассмотрения был сделан на встречавшихся в практике авторов проблемных вопросах, с учетом которых формулировались основанные на своей, возможно пока и небольшой, практике рекомендации по обеспечению безопасности объектов КИИ, так как основная идея авторов пособия заключалась в том, чтобы создать некое наставление, которое бы позволило совершить меньше ошибок.”
Заключение: этот методический документ АРСИБ должен закрыть большинство ваших вопросов в области КИИ. Если какие-то вопросы ещё остались – попробуйте посмотреть наш FAQ по КИИ, там тоже много всего. Если и этого мало - приходите на наш предновогодний вебинар с Ксенией Шудровой, будем там в онлайне обсуждать ваши вопросы. Чтобы заранее спланировать каким темам уделить больше внимания, можно вопрос предварительно скинуть Ксении - она их собирает в своем блоге.    


Источник: https://sborisov.blogspot.com/2019/12/blog-post 15.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>