пятница, 30 марта 2018 г.

Выводы и вопросы по 239 Приказу



Выводы и вопросы по 239 Приказу ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»

1. Применение данного приказа для обеспечения безопасности информационно-телекоммуникационных сетей должно быть согласовано Минкомсвязью (это прямо прописано в 187-ФЗ), никаких упоминаний в Приказе об этом нет. Что делать владельцу такой сети?
2.  Приказ Минкомсвязи выше по уровню, чем приказ ФСТЭК. «При проектировании подсистем безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями, настоящие Требования применяются в части, не противоречащей Требованиям к проектированию сетей электросвязи, утвержденным приказом Минкомсвязи России от 9 марта 2017 г. N 101»
3.      Обязательной аттестации по требованиям 239 Приказа не увидел, даже для ГИС.
4.      Модели угроз разрабатываются по методическим документам ФСТЭК, которые не опубликованы даже в виде проектов. Сроки готовности ФСТЭК не называет.
5.  Безопасность значимого объекта обеспечивает субъект (владелец) и никто более. Собственник значимого объекта не сможет передать все проблемы по выполнению 187-ФЗ на оператора. Оператор может привлекаться только к разработке и внедрению мер по обеспечению безопасности, а так же к совместной приемке организационных и технических мер по обеспечению безопасности. При этом между субъектом и оператором должно быть проведено разграничение функций по обеспечению безопасности значимого объекта в ходе эксплуатации. Очень важно правильно составить договор. По нему будет определятся ответственность по Ст.274.1 УК.
6. Приказ устанавливает требования не только к средствам защиты информации, но и к защищаемым ими программным и аппаратно-программным средствам значимого объекта КИИ (параметры настроек, конфигурации, наличие гарантийной/технической поддержки производителя, поиск уязвимостей, условия эксплуатации).
7. Жесткие требования к непрерывности функционирования значимого объекта КИИ (создание альтернативных мест хранения и обработки информации на случай нештатных ситуаций, резервирование ПО, ПАК и каналов связи на случай нештатных ситуаций, отработка на тренировках действий персонала при нештатных ситуациях) 1 и 2 категории значимости. Мера ОДТ.1 обязывает использовать технические средства в отказоустойчивом исполнении.
8. В п.30 указано что все ПО и ПАК значимого объекта ДОЛЖНЫ эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств. Здесь важно три момента:
8.1. При закупках любого ПО и технических средств для значимого объекта включайте в договор поставки обязательное наличие инструкции по эксплуатации на русском языке.
8.2. За нарушение требований данной инструкции, повлекшее нанесение вреда предусмотрена уголовная ответственность по ст.274.1 УК РФ. С очень длительными сроками наказания.
8.3. Непонятен статус инструкций по эксплуатации, разработанных субъектом КИИ.
9.     В п.31 указано, что ПО и ПАК, применяемое на значимом объекте КИИ, в том числе средства защиты информации, должны быть обеспечены гарантийной и/или технической поддержкой. Получается следующее:
9.1.  При закупках любого ПО и технических средств для значимого объекта включайте в договор поставки обязательное гарантийное/техническое сопровождение на весь срок эксплуатации изделия.
9.2. Что делать с уже функционирующими ПАК и версиями ПО непонятно.
9.3.     Как подтверждать наличие техподдержки для «самописного» ПО?
10. Как трактовать п. 24 «В случае, если значимый объект является ГИС или ИСПДн, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению безопасности ПДн) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных» не понял? Если у меня Объект КИИ 3 категории и он же ГИС, которая К2. То что делать надо? Выполнять требования 17 приказа для К2 и требования 239 приказа для 3 категории КИИ? Так это и так уже прописано в п. 5. Или я должен повысить категорию значимости для КИИ до второй?
11.  Непонятно почему для 3 категории нет обязательности предотвращать вторжения (компьютерные атаки). ФСБ в своих приказах такого послабления не дает, а тут весь раздел СОВ исключили.
12.   По разрабатываемой ОРД:
12.1. Шестнадцать Политик минимум (17 Политик для 1 и 2 категории).
12.2.    Два Плана в обязательном порядке.
13.  Для значимых объектов 1 категории обязательно использование двух антивирусов различных производителей.
14.    Для значимых объектов 1 категории обязательно проведение внешнего аудита. Ежегодно.
15.  Не предусмотрено мер защиты для виртуальной среды. Раздел ЗСВ отсутствует полностью. Только появилась мера ЗИС.39 «Управление перемещением виртуальных машин и обрабатываемых на них информации».
16. Применение состава мер затруднено без методического документа ФСТЭК для КИИ по типу «Методического документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Особенно в случае ГИС или ИСПДн, задача об оценке уже реализованных мерах защиты по 17 и 21 приказу на соответствие требованиям 239 приказ будет очень трудоемкой и требующей высокой квалификации исполнителя.



Выводы:

1. Приказ сильно ужесточает требования 235 Приказа, так Требования по инструкциям эксплуатации, наличие гарантийной/техподдержки распространены с средств защиты информации на все ПО и оборудование значимого объекта КИИ.
2. Применение Приказа существенно затрудненно и возможно только централизованным органом ИБ, в плотном рабочем контакте с ФСТЭК. На объектах требования данного приказа выполнить не смогут.
3. Сложности с привлечением внешних лицензиатов, обладающих соответствующей компетенцией. Необходимость централизации таких договоров, так как кураторы работ на местах не смогут должным образом проконтролировать и принять работы.
4.    Обязательное участие юристов в экспертизе всех договоров поставки, модернизации, эксплуатации, утилизации объектов КИИ. На предмет риска применения к субъекту Ст. 274.1 УК РФ.
5.    Приказы ФСТЭК не совпадают с проектами приказов ФСБ, возможны коллизии для субъекта.
6.  Выполнение требований Приказа лежит не столько в области ИБ, сколько в области ИТ и промышленной безопасности (обеспечение непрерывности бизнес-процесса). Требуется очень грамотный подбор руководителя проекта по его внедрению, а так же подбор команды под эту задачу. Руководитель должен обладать авторитетом для всех подразделений субъекта и иметь значительную административную поддержку от руководства организации.



* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

6 комментариев:

  1. Добрый день, Валерий!
    Подскажите, по-вашему мнению, распространяется ли требования по сертификации на ПАК(ПТК) АСУ ТП ОКИИ, в части SCADA или ПЛК?

    ОтветитьУдалить
    Ответы
    1. Здравствуйте. Вопрос непонятен. У вас есть АСУ ТП, которые в ы признали объектом КИИ. Это АСУ ТП реализовано на программно-аппаратном комплексе. Требования предъявляются только к значимым объектам КИИ. Допустим, что АСУ ТП отнесено к ЗОКИИ. смотрим 239 приказ ФСТЭК на счет сертификации.

      Удалить
    2. 27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).
      При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).
      28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

      Удалить
  2. Вопрос, вы рассматриваете SCADA как средство защиты информации? И в любом случае, у ФСТЭК нет требования по обязательной сертификации в отношении средств защиты информации для ЗОКИИ.

    ОтветитьУдалить
    Ответы
    1. Добрый день!
      Мы являемся разработчиками ПТК (контроллеров и SCADA). В SCADA, да и в контроллерах, реализуются, как минимум, функции аутентификации и авторизации пользователей. Эти функции относятся к мерам защиты информации.
      Наш ПТК заказчик применяет в составе АСУТП объектов 3 категории ОКИИ (электростанции). И соответственно спрашивает у нас наличие сертификата ФСТЭК или обоснования почему он не нужен.

      Удалить
  3. Вы можете предложить заказчику реализовать схему из п. 28. Создать комиссию для проведения испытаний и приемки. Если согласится, то вы разработает программу и методику испытаний средства защиты информации, которую заказчик согласует. Но это право заказчика, а не обязанность. Если вы заявили в своём изделии функционал СЗИ, то у вас лицензия должна быть ФСТЭК на разработку и производство СЗИ.

    ОтветитьУдалить