Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 22 Д ля субъекта Кии подп. а, б и п. 5 постанов- ления Правительства Рф от 08.02.2018 г. № 127 определяют необходимость проведения анализа процессов, связанных с его деятель- ностью. эти шаги могут быть выполнены с раз- ной степенью детализации, так как требования к такой детализации именно этого этапа в явном виде отсутствуют. зачастую результаты выполнения этих мероприятий используются исключительно для дальнейшего проведения работ по выполнению требований законода- тельства. Однако в этих сведениях можно найти дополнительную ценность, если взглянуть на них под другим углом. Преимущества приложения дополнительных усилий на ранних этапах категорирования При формальном подходе субъекту Кии доста- точно заглянуть в свой устав и иные учредитель- ные документы, ОКвэД, ЕГРЮЛ/ЕГРиП, на основании данной информации составить перечень процессов, которые осуществляет организация, и двинуться дальше к выполне- нию следующих требований установленной процедуры. но уже на этом этапе мы, подразделения кибер- безопасности, можем копнуть немного глубже и увидеть свою организацию в новом свете. в настоящий момент для ряда отраслей уже опубликованы разработанные отраслевыми регуляторами методики категорирования, содержащие в том числе как наборы типо- вых и при этом достаточно детализирован- ных процессов, так и ссылки на источники, в которых можно почерпнуть знания для реа- лизации этого этапа. Для того чтобы понять, кто и чем занимается внутри организации, можно обратиться к положениям о подраз- делениях, в которых с разным уровнем дета- лизации описаны процессы, которые они обеспечивают. хочется отметить, что выстраивание связей процессов, которые могут быть одними и теми же, но называться по-разному из-за отсутствия единого класси- фикатора, будет очень трудоемким процес- сом. но инвестиция усилий сейчас, на дис- танции, даст хорошие дивиденды. выбрав более детальный подход к реализации этого этапа категорирования, мы получаем сле- дующие преимущества. Главное, конечно, – это четкое понимание тече- ния процессов через будущие объекты Кии. не просто "система N относится к процессу M потому, что у них названия одинаковые", а "систе- ма N обеспечивает течение процессов 1–3, запускает процесс 5 и заканчивает процесс 25". Таким образом, мы получаем схемы процессов и у нас появляется возможность фиксации рас- пределения нескольких систем на разные этапы процесса, что послужит отличным подспорьем для будущего применения мер защиты или ана- лиза и совершенствования текущих процессов обеспечения защиты. При этом из множества систем организации, которые, конечно же, все нуждаются в защите, можно явно выделить те, которые являются более важными и в обеспечение защиты кото- рых бизнес сам готов вложиться. и даже не из- под палки. немаловажно еще и то, что самостоятельно обеспечить выполнение данного фз подразде- лениям кибербезопасности крайне затрудни- тельно, и стремиться к этому нет никакой необходимости. нельзя упускать возможность выйти на диалог с бизнесом в лице владельцев процессов, так как именно в диалоге, а не в позициях "безопасность – надсмотрщик" или "бизнес – поднадзорные" содержится ключ к гармоничному развитию и повышению уровня защищенности субъекта Кии. Кроме того, именно владельцы процесса могут обладать специфическими знаниями о течении своих процессов и их узких местах, в том числе связанных с обеспечением безопасности, кото- рые не видны извне и не очевидны из докумен- тации, формализующей процесс. Данные све- дения могут оказаться решающим фактором, имеющим сильное влияние на эффективность внедряемой меры защиты и контроля данного процесса. Косвенным бенефициаром процесса реализации требований ФЗ может стать не только подразделение безопасности Еще одним преимуществом федерального закона № 187-фз можно считать то, что он даст импульс для стратегических подразделе- ний субъекта оценить свою работу, так как инвентаризация процессов организации рано или поздно потребуется любой организации, которая хочет развиваться. и если они будут на каком-то уровне испытывать сопротивление СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии октябрь – ноябрь 2021 www.secuteck.ru Владимир Зуев Начальник Корпоративного центра взаимодействия с системой "ГосСОПКА" управления киберзащиты Департамента информационной безопасности АО "Россельхозбанк" Применение результатов реализации 187-ФЗ для совершенствования кибербезопасности субъекта КИИ Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информа- ционной инфраструктуры Российской Федерации" и его подзаконные акты устанав- ливают необходимость реализации субъектами, подпадающими под его область дей- ствия, ряда комплексных мероприятий. При этом, даже несмотря на хороший уровень детализации шагов по выполнению требований данного закона в его подзаконных актах, существуют дополнительные возможности использования информации, полу- чаемой субъектом при категорировании своих объектов критической информацион- ной инфраструктуры (КИИ), для совершенствования собственной кибербезопасности www.nypost.com

RkJQdWJsaXNoZXIy Mzk4NzYw