Журнал "Information Security/ Информационная безопасность" #6, 2019

• 7 КИИ www.itsec.ru Следует отметить, что информацион- ные сообщения не являются норматив- но-правовыми актами и не имеют юри- дической силы. Приказом ФСТЭК России от 25.12.2017 г. №2 39 (п. 11.1) утверждены требования к содержанию модели угроз для ЗОКИИ, в соответствии с которыми модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, харак- теристику источников угроз безопасно- сти информации, в т.ч. модель наруши- теля, и описание всех угроз безопасности информации, актуальных для значимого объекта. В качестве исходных данных для ана- лиза угроз безопасности информации должен использоваться банк данных, ведение которого осуществляется ФСТЭК России. По сути, п. 11.1 приказа ФСТЭК Рос- сии от 25.12.2017 г. № 239 устанавливает требования и подходы, которыми необхо- димо руководствоваться при моделиро- вании угроз безопасности ЗОКИИ. По мнению автора, опираться на мето- дики и базовые модели угроз, разрабо- танные ФСТЭК России для ключевых систем информационной инфраструкту- ры, на текущий момент стратегически неверно, так как методические доку- менты в части моделирования угроз безопасности информации объектов КИИ, которые планируются к утвержде- нию ФСТЭК России (согласно инфор- мационному сообщению от 4 мая 2018 г. № 240/22/2339), явно будут опираться на требования действующего законода- тельства по безопасности КИИ, в част- ности приказа ФСТЭК России от 25.12.2017 г. № 239. После определения актуальных угроз перед проектированием СБ ЗОКИИ необходимо проведение так называе- мого диагностического аудита (в общей теории менеджмента более известного как GAP-анализ), целью которого является определение тех мер по защи- те информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реа- лизовать в процессе создания СБ ЗОКИИ. Результатом проведения диагности- ческого аудита будет являться понима- ние того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, какая требует реали- зации в процессе создания СБ ЗОКИИ, какая может быть "закрыта" встроенны- ми средствами защиты, а для какой потребуется применение наложенных средств. По итогам проведенного моделирова- ния угроз, анализа текущего положения дел и формирования требований к СБ ЗОКИИ (на основании категории значи- мости) подготавливается и утверждается руководителем субъекта КИИ план меро- приятий по обеспечению безопасности ЗОКИИ (пп. 29–31 приказа ФСТЭК Рос- сии от 21 декабря 2017 г. № 235), начало реализации которого означает переход на следующий этап. Этап 2. Реализация На данном этапе осуществляется фак- тическое создание: l сил СБ ЗОКИИ, то есть формирование структурных подразделений, указанных на рис. 1; l внедрение организационных и техни- ческих мер, реализация плана меро- приятий по обеспечению безопасности ЗОКИИ (п. 34 приказа ФСТЭК России от 21 декабря 2017 г. № 235). Состав организационных и технических мер по обеспечению безопасности ЗОКИИ при- веден в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 г.; l разработка организационно-распоря- дительных документов, регламентирую- щих процессы управления информа- ционной безопасностью. Этап 3. Мониторинг и контроль Основная цель этого этапа – посто- янное наблюдение за функционирова- нием СБ ЗОКИИ, определение суще- ствующего положения дел в области обеспечения информационной безопас- ности и дальнейших действий для улуч- шения системы защиты информации, т.е. ее совершенствования. Этап 4. Совершенствование Созданная система не является ста- тичной и нуждается в систематическом совершенствовании, чтобы противосто- ять новым угрозам. По результатам мониторинга и контроля в рамках совер- шенствования осуществляется (при необходимости) корректировка архитек- туры объектов КИИ, обновление суще- ствующих средств защиты ЗОКИИ, повышение зрелости процессов управ- ления информационной безопасностью и корректировка организационно-рас- порядительных документов. Проектный подход Со времени вступления в законную силу Федерального закона от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфра- структуры Российской Федерации" про- шло уже около двух лет, многие субъ- екты КИИ провели процедуру категори- рования и теперь приступают к созданию СБ ЗОКИИ. Исходя из того, что создание СБ ЗОКИИ – это некий проект в области обеспечения безопасности организации, в этой статье и был предложен про- ектный подход с указанием этапов про- екта и некоторых особенностей их реа- лизации. l Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама