Защита КИИ - Форум по вопросам информационной безопасности
Защита КИИ - Форум по вопросам информационной безопасности
| Автор: Dfg | 83035 | 03.12.2017 07:59 |
|
*ФСТЭК вынесла на общественное обсуждение проект приказа «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
*** На мой взгляд толковый документ. Отмечу следующие плюсы. +Не стали душить обязательной сертификацией СЗИ. При этом разъяснено как оценивать СЗИ в форме приемки и ввода в эксплуатацию (ПДнщикам с 3 уровнем защищенности на заметку ;) +Указанно про возможность использования встроенных в систему внутренних средств безопасности. +Указано про возможность включения документации по защите КИИ в состав общих документов защиты ИС Предприятия в целом п23. (действительно практические требования ИБ зачастую одинаковые) Посмотрим что утвердят в итоге :) |
|
| Автор: oko | 83037 | 03.12.2017 13:33 |
|
*в сторону* лучше бы они на других Требованиях сконцентировались. Серьезно по ФСТЭК ударила ГосСОПКА, ничего не скажешь...
to Dfg imho, не разъяснено, увы, относительно обязательной сертификации ничего. Если в КИИ обрабатывается ИОД, охраняемая законом (любым) РФ, то нужны сертификаты на СЗИ. В противном случае, не нужны. И что-то мне подсказывает, что таких КИИ будет не так много (вернее, регулятор однозначно найдет, что в таких КИИ также имеется охраняемая законом ИОД)... Если, положим, такой ИОД в КИИ нет, то в Требованиях вопросы приемки существующих СЗИ без сертификата не раскрыты. Очевидно, надо ждать какой-нибудь методики. В противном случае, рискуем попасть на кучу контор-лицензиатов, которые будут выдавать положительные Заключения о приемке (того же avast!, ага) по криво разработанным ПиМ за определенную сумму рублей... Фразу про встроенные СЗИ можно истолковать как реверанс в сторону тех же ОС в защищенном исполнении, для которых уже разработаны сертификационные профили, ага :) А вот отсутствие явно указанного перечня документов, базового набора, так сказать, при описании СЗИ КИИ, это явный косяк. К сожалению, большинство исполнителей в стране любит пользоваться принципом "разрешено (не требуется) все, что не запрещено (не указано) явно". Поэтому текущий вид новых Требований, imho, может спровоцировать их на описание какой-нибудь распределенной КИИ на рулоне туалетной бумаги с подзаголовками: "технический уровень", "организационный уровень", "модель угроз", "приемка СЗИ" и т.п. Бессмысленно и беспощадно... ЗЫ Поглядим, что будет в итоге. Радует одно - документ пока не испытывает избыточный вес и внутреннюю противоречивость, все вроде бы логично и стройно, но немного сыровато... |
|
| Автор: Dfg | 83041 | 03.12.2017 15:05 |
|
To oko
*В противном случае, не нужны. И что-то мне подсказывает, что таких КИИ будет не так много (вернее, регулятор однозначно найдет, что в таких КИИ также имеется охраняемая законом ИОД).* Ну вот например система управления электростанцией. Какая там ИОД. Как правило нет. *Требованиях вопросы приемки существующих СЗИ без сертификата не раскрыты. Очевидно, надо ждать какой-нибудь методики. В противном случае, рискуем попасть на кучу контор-лицензиатов, которые будут выдавать положительные Заключения о приемке (того же avast!, ага) по криво разработанным ПиМ за определенную сумму рублей...* Не вижу тут трагедии. Такие писульки конторки рисуют и для ИОД не ГТ. Тут посыл для КИИ принципиально озаботиться защитой, и при этом дают свободу маневра. А кто не хочет заниматься ИБ, тот и не будет этого делать, закрывшись только бумажками. Остальные подробности расписаны давно в 31 приказе. Странно что в проекте не ссылаются на него. |
|
| Автор: oko | 83043 | 03.12.2017 16:52 |
|
to Dfg
<Остальные подробности расписаны давно в 31 приказе. Странно что в проекте не ссылаются на него> - вот да, +1... <Не вижу тут трагедии. Такие писульки конторки рисуют и для ИОД не ГТ.> - ну, по-идее, каждый новый документ/требование/норма регулятора должен учитывать опыт внедрения предыдущих. Конечно, защиты от дурака и подлеца принципиально не существует. Но, imho, минимизировать (риски, ага) кривотолки нормотворец обязан... <Ну вот например система управления электростанцией. Какая там ИОД> - ИОД-то есть, потому что все, что не является ИОД, является по-умолчанию общедоступным. Т.е. протоколы, потоки технологической информации и проч. тогда стоит выкладывать в общий доступ (равно как и средства их управления, ага). Тут, на мой взгляд, все опять упирается в пресловутую "служебную тайну". Коммерческой такая ИОД быть не всегда может, ибо не всегда коммерсы владеет той же электростанцией в полной мере. А вот "служебка" (как ИОД, с которой ознакомлен персонал по факту своей работы/службы)... и подвиды ее (ту же технологическую инфу, места подключений, допустимые мощности до перегрузки, "слабые узлы" и проч. - в примере электростанции)... давно пора в законе расписать и утвердить. Тогда и проблем сразу станет меньше... И потом, если бы не было ИОД, не было бы необходимости писать про КИИ. Да, в первую голову "доступность" и "целостность", а во вторую - "конфиденциальность". Но это никак не отменяет факта самой ИОД... |
|
| Автор: WORM, MK | 83045 | 03.12.2017 17:44 |
|
Все смешалось в доме Облонских.....
Похоже, многие ГИС превратятся еще и в объекты КИИ. Плюс вступивший позавчера в силу Приказ №31-дсп (не путать просто с 31-м!). А он устанавливает обязательность аттестации ИС управления производством ОПК. А это, опять же КИИ. И по какому приказу (и закону) их защищать?? А если в КИИ-ГИС еще и персональные данные.... Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички... |
|
| Автор: GVBH | 83053 | 04.12.2017 10:54 |
|
to WORM,
Дату приказа не подскажете? |
|
| Автор: WORM, MK | 83059 | 04.12.2017 13:23 |
|
от 28.02.2017 г.
В открытом доступе пока мало. Тут, например, Д. Шевцов обмолвился: Ну, и Лукацкий что-то у себя писал весной... |
|
| Автор: Dfg | 83097 | 06.12.2017 10:33 |
|
To oko
***И потом, если бы не было ИОД, не было бы необходимости писать про КИИ. Да, в первую голову "доступность" и "целостность", а во вторую - "конфиденциальность". Но это никак не отменяет факта самой ИОД...*** Вот именно, что КИИ может и не иметь собственно информации, это АСУТП представляющая собой потоки управления. Доступность и целостность. Схемы Асутп пожалуйста - храним на аттестованном арм. Саму асутп защишаем исходя из технической возможности, опираясь на штатные механизмы зашиты. Вы при всем желании не засунете на управляющий асутп контролер лохматого года под управлением *nix какой нибудь SecretNet ***ИОД-то есть, потому что все, что не является ИОД, является по-умолчанию общедоступным. Т.е. протоколы, потоки технологической информации и проч. тогда стоит выкладывать в общий доступ (равно как и средства их управления, ага).*** Как то попадалась документация к одной системе, которая звучала так. "Информационная система для обработки открытой информации, не подлежащей свободному распостранению" и перечень внутренних мер защиты . :) Если не может быть КТ, то могут быть применены внутренние отраслевые требования. Другое дело, что по закону за разглашение, тогда привлечь работника может быть труднее, даже если под роспись об ознакомлении допускать. |
|
| Автор: oko | 83098 | 06.12.2017 11:39 |
|
to Dfg
Доступность и целостность, да. И если не нравится аббревиатура "ИОД", можно заменить ее на "защищаемую информацию" - суть дела не меняется... А про "открытую информацию, не подлежащую свободному распространению"... В КИИ заранее сложно сказать (без многораундовой оценки), какая информация о структуре, потоках и проч. будет угрожать КИИ при ее раскрытии третьим лицам (это если мы говорим о чисто технологических системах). Поэтому, есть допуск у сотрудника - ознакомлен, обязан хранить в "условном секрете" от других. Нет допуска - гуляй. Вот вам и ИОД. А если совсем на конфиденциальность положить, можно и обжечься потом (о трубу, в которой по канонам должна течь холодная вода, а из-за злобных хацкеров теперь течет кипяток, ага)... КИИ = некая совокупность ИС, АСУТП и проч. АС, применяемых для обеспечения нужд населения в широком масштабе. Нарушение одного или нескольких свойств Триады в такой "совокупной ИС" может причинить вред населению страны или субъекту Федерации / всей стране в целом в какой-либо сфере. Размыто, конечно, но интуитивно понятно, о каких объектах идет речь. И главное отличие КИИ от АСУТП - это одна из точек входа - из внешних сетей связи. Аля АСУТП + управляющая ИС + доступность из той же ИТКС "Интернет". Чтобы УБИ и потенциальных нарушителей было по-больше, а вариаций системы защиты по-меньше, ага :) |
|
Прошло несколько недель
| Автор: Dfg | 84261 | 29.12.2017 23:24 |
|
Ещё один проект.
Если первый был "О создании", то тут "Об обеспечении" Ну тут уж все по хардкору, свобода выбора сзи "в создании", задушена на корню п.23. Об обеспечении. Звучит так, что пожалуйста используйте встроенные средства ИБ, но чтобы класс такой то, да ещё с проверкой на НДВ. В итоге вся встройка оказывается не легитимна. |
|
Страницы: 1 2 3 4 5 6 >
Просмотров темы: 22263
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"