Решил я тут освежить свои знания по 239-му приказу. Все-таки с категорированием мучаться все скоро закончат и наступит реальная работа по защите своих значимых объектов (ну если они, конечно, будут найдены у субъектов КИИ, которые не захотят загонять себя в прокрустово ложе жестких требований регулятора). Ну а какой самый лучший способ вспомнить и разобраться в хитросплетениях отечественной нормативки? Правильно. Сделать майндкарту. И вот я взял и сделал ее.
PDF с ней выложил в облако - качайте. В карте уже учтены последние правки, выложенные ФСТЭК на прошлой неделе для общественного обсуждения. Если и не примут что-то, то я потом быстро внесу изменения.
Пара замечаний по всему приказу. Обратил внимание, что местами нарушена методологическая составляющая (спустя полтора года обнаружил и только после составления майндкарты). Например, информирование и обучение персонала одновременно включается и в этап обеспечения безопасности в ходе эксплуатации значимого объекта и в список организационных и технических мер. Тоже самое относится и к реагированию на инциденты, и к обеспечению действий в нештатных ситуаций. Например, согласно перечню мер из приложения анализ возникших нештатных ситуаций (ДНС.5) не включен в базовый набор мер ни для одного уровня значимости, а в разделе 13.6 он включен для всех значимых объектов без исключения. Тут либо из перечня мер надо это исключать, либо из раздела 13 приказа. И я не знаю, что лучше. Логичнее вроде бы из перечня приказа, так как эти мероприятия логичны и их закономерно распространять на все ЗОКИИ, но с другой стороны, это нарушить преемственность с другими приказами ФСТЭК, например, с 31-м.
Пункты 15-18 я бы вообще вынес в самое начало приказа, в основные положения. А то получается, что о целях и задачах защиты ЗОКИИ мы узнаем только ближе к концу документа. Мелочь, а при составлении майндкарты за это глаз цепляется (я в итоге это и перенес в общие положения в майндкарте).
ЗЫ. А вообще классно было бы, если бы регулятор сопровождал свою нормативку майндкартами :-)
ЗЗЫ. Та же карта, но через Slideshare.
PDF с ней выложил в облако - качайте. В карте уже учтены последние правки, выложенные ФСТЭК на прошлой неделе для общественного обсуждения. Если и не примут что-то, то я потом быстро внесу изменения.
Пара замечаний по всему приказу. Обратил внимание, что местами нарушена методологическая составляющая (спустя полтора года обнаружил и только после составления майндкарты). Например, информирование и обучение персонала одновременно включается и в этап обеспечения безопасности в ходе эксплуатации значимого объекта и в список организационных и технических мер. Тоже самое относится и к реагированию на инциденты, и к обеспечению действий в нештатных ситуаций. Например, согласно перечню мер из приложения анализ возникших нештатных ситуаций (ДНС.5) не включен в базовый набор мер ни для одного уровня значимости, а в разделе 13.6 он включен для всех значимых объектов без исключения. Тут либо из перечня мер надо это исключать, либо из раздела 13 приказа. И я не знаю, что лучше. Логичнее вроде бы из перечня приказа, так как эти мероприятия логичны и их закономерно распространять на все ЗОКИИ, но с другой стороны, это нарушить преемственность с другими приказами ФСТЭК, например, с 31-м.
Пункты 15-18 я бы вообще вынес в самое начало приказа, в основные положения. А то получается, что о целях и задачах защиты ЗОКИИ мы узнаем только ближе к концу документа. Мелочь, а при составлении майндкарты за это глаз цепляется (я в итоге это и перенес в общие положения в майндкарте).
ЗЫ. А вообще классно было бы, если бы регулятор сопровождал свою нормативку майндкартами :-)
ЗЗЫ. Та же карта, но через Slideshare.
Проблемы новой редакции приказа № 239 в п. 29.1 и 31.
ОтветитьУдалитьРегулятор предлагает использовать только сертифицированные маршрутизаторы для объектов КИИ 1 категории и запрещает размещать ПО и оборудование объектов КИИ за пределами территории РФ. Пункт 29.1 противоречит части 2 статьи 1 ФЗ № 184 "О техническом регулировании". Маршрутизаторы в соответствии с ПП РФ № 532 должны сертифицироваться как средства связи. В существующих объектах КИИ использование сертифицированных маршрутизаторов от других производителей при модернизации объекта может создать проблемы совместимости.
Запрет на размещение ПО и оборудования объектов КИИ за пределами территории РФ исключает техническую поддержку производителей для трансграничных процессов объектов КИИ. Это не приемлемо при существующей системе категорирования объектов КИИ, поскольку к 1 категории значимости могут быть отнесены объекты массового рынка (связь, медицина, банки, разные производственные процессы и т.п.).
Если маршрутизатор выполняет функции ИБ, то он также может сертифицироваться и по ФСТЭК и даже по ФСБ. Поверь, у нас есть железки, которые имеют все три сертификата соответствия :-) А сертификация Минсвязи нужна для узлов связи - это очень узкая линейка маршрутизаторов. ФСТЭК же имеет ввиду в-основном корпоративные устройства. Есть еще одна бумажка, которую получают все телекоммуникационные устройства, но это условие ввоза в страну и она есть у всех, кто здесь официально продается. И не забывай, что следующий абзац 29.1 говорит о том, что можно и не использовать сертифицированные маршрутизаторы.
ОтветитьУдалитьА на это ФСТЭК уже давно ответила, что она видит угрозу в том, что какие-то непонятные SIEMENS, Schneider Electric, Rockwell, HP и др. имеют доступ к критической инфраструктуре из-за рубежа и это надо прекращать. С ними спорить в этом плане сложно - им так приказали сделать и они берут под козырек