понедельник, 27 января 2020 г.

Тук-тук. Кто там? Прокуратура. Здесь субъект КИИ проживает?


   Как и прогнозировалось, к проверке выполнения 187-ФЗ подключилась прокуратура. По стране идет массовый запрос сведений от организаций.

Вот типовой запрос


Рекомендации по подготовке ответа разместил здесь https://zen.yandex.ru/profile/editor/id/5c7b7864fa818600ae3856a1/5e2c394f1febd400b021c638/edit
Рекомендации по подготовке подтверждающих документов здесь -https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-podtverjdaiuscie-dokumenty-na-zapros-prokuratury-5e2c394f1febd400b021c638

    И наибольшие затруднения у меня вызвал ответ на вопрос прокуратуры про подтверждение создания системы безопасности ЗОКИИ.

    Вопрос: какими документами подтвердить, что создана система безопасности ЗОКИИ?
    В 235 приказе ФСТЭК ничего не сказано об этом.

   В 239 приказе ФСТЭК предусмотрен акт приемки ПОДСИСТЕМЫ безопасности ЗОКИИ, подтверждающим ее соответствие установленным требованиям.
«18. Обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).»

    Смотрим 235 приказ ФСТЭК
«7. Создаваемые системы безопасности должны соответствовать требованиям, предъявляемым к:
-силам обеспечения безопасности значимых объектов критической информационной инфраструктуры;
-программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры;
-организационно-распорядительным документам по безопасности значимых объектов;
-функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры.»

   Субъект КИИ обязан подтвердить какими то документами выполнение каждого требования по отдельности?
   Отмечу, что даже последний пункт невозможно закрыть актом соответствия по 239 приказу.
   Ситуация как с ПДн, когда выполнение 21 приказа ФСТЭК не означает выполнение всех требований по защите ПДн. Но там то были разные госорганы, выпустившие требования. А здесь ФСТЭК так «гармонично» выпустила свои два приказа.
    В 235 приказе ФСТЭК предусмотрено документирование: «Результаты реализации мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры подлежат документированию в порядке, установленном субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.». И к этим мероприятиям не относится создание системы безопасности ЗОКИИ, они уже при ее функционировании осуществляются п.28 235 приказа.

25. Организационно-распорядительные документы по безопасности значимых объектов должны определять:
а) цели и задачи обеспечения безопасности значимых объектов критической информационной инфраструктуры, основные угрозы безопасности информации и категории нарушителей, основные организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, проводимые субъектом критической информационной инфраструктуры, состав и структуру системы безопасности и функции ее участников, порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и средств защиты информации требованиям по безопасности;
26. Организационно-распорядительные документы по безопасности значимых объектов утверждаются руководителем субъекта критической информационной инфраструктуры (уполномоченным лицом).
27. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся.

   Таким образом, на запрос сведений о создании СБ ЗОКИИ, в случаях ее наличия, необходимо направлять приказ субъекта КИИ об утверждении состава и структуры системы безопасности ЗОКИИ, а так же регламент взаимодействия сил безопасности ЗОКИИ.                     Документы должны быть утверждены руководителем организации, предоставить листы ознакомления задействованных лиц. Если успели провести, то результаты анализа функционирования СБ ЗОКИИ по п.37 235 приказа ФСТЭК. + акт соответствия по 239 приказу ФСТЭК.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

2 комментария:

  1. Советы для получивших представление прокуратуры на устранение нарушений 187-ФЗ, на примере новости про результаты проверки районной больницы в Липецкой области https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-itog-prokurorskoi-proverki-v-raionnoi-bolnice-5e347225e0d0b71a458b65ac

    ОтветитьУдалить
  2. А вот и ответ прокуратуры. Вот так выглядит на 7 листах перечень, подтверждающий создание СБ ЗОКИИ
    https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-poluchili-predstavlenie-prokurora-5e38700153de5721ccf795b6

    ОтветитьУдалить