Страницы

РД ФСТЭК по КСИИ

В нашей нормативке по ИБ чёрт ногу сломит. Если ещё учесть и то, что большая часть документов ФСТЭК имеет гриф "для служебного пользования", то ситуация начинает вообще напоминать то ли комедию, то ли трагедию.
Дспшный документ так просто не достанешь: вначале нужно пронюхать о его существовании, затем найти место где его можно достать, потом за него нужно заплатить и пару месяцев подождать пока его вам привезут.
Иногда документ приходит к вам в виде симпатичной цветной книжечки, иногда в виде стопки прошитых ксерокопий. В большинстве случаев после прочтения документа у вас в голове будет вертеться всего один вопрос - зачем всё так усложнять? К сожалению ответ вероятнее всего банален - торговля цветными книжечками приносит деньги, ну и помогает сакрализовать работу ИБэшника, что дает последнему возможность выигрывать в спорах с сисадминами ("Надо делать так, потому что так написано в закрытом документе, который я тебе не имею права показывать.").

Тема защиты ключевых систем информационной инфраструктуры редко всплывает в сети, поэтому я решил написать небольшой пост о структуре документов по КСИИ, в надежде, что блуждающий по выдаче поисковых систем путник зайдёт сюда и все поймёт.
На сегодняшний момент структура документов по КСИИ выглядит так (если что забыл - поправьте в комментах!):

Вот полные названия документов:

1. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены заместителем директора ФСТЭК России 18 мая 2007 года);

2. Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждено заместителем директора ФСТЭК России 19 ноября 2007 года);

3. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждена заместителем директора ФСТЭК России 18 мая 2007 года);

4. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждена заместителем директора ФСТЭК России 18 мая 2007 года);

5. Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утверждены заместителем директора ФСТЭК России 18 ноября 2008 года, ДСП);

6. Положение о Реестре ключевых систем информационной инфраструктуры (утверждено приказом ФСТЭК России от 4 марта 2009 года №74);

7. Методические рекомендации по формированию аналитического прогноза по  комплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период (утв. ФСТЭК РФ 23.04.2011);

8. ГОСТ РО 0043-002-2012. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов. 

Кроме того есть еще два документа Совбеза РФ:

1. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации;

2. Совет Безопасности 08.11.2005 “Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий”.

Что еще почитать?


11 комментариев:

  1. Имеем все перечисленные документы за исключением ГОСТа и Методических рекомендаций по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры . Про существование ГОСТа не знал. Спасибо за пост. Иду писать письмо во ФСТЭК на данный ГОСТ :)

    А вот что касается документа "Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры", пытался его заказать, но в ГНИИИ ПТЗИ почему то про него не знают. Алексей Лукацкий в одном из своих постов как то делал предположение, что данный документ предназначен только для внутреннего пользования специалистами ФСТЭК при проверках. Если так, то жаль. Хотелось бы посмотреть на эти методические рекомендации

    ОтветитьУдалить
    Ответы
    1. Мы (РосИнтеграция) получили этот документ без каких-либо трудностей. Получали во ФСТЭК ЮФО.

      Документ конкретный, полезный на практике и читать его намного интересней, чем тот же ГОСТ.

      Т.ч. требуйте :)

      Удалить
  2. Спасибо за перечень, по КСИИ довольно толковые документы. Особо радует МУ, странно, что эти наработки ФСТЭК толком ни где не использует

    ОтветитьУдалить
  3. Кстати, есть ещё документ
    "Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну", утверждено приказом ФСТЭК России от 29 мая 2009 г. № 191, регистрация в Минюсте 6 июля 2009 г. № 14230
    Я думаю его тоже можно было внести в структуру документов по КСИИ. Цитата из данного документа: "положение определяет особенности технической защиты информации в АС, включающих станки с ЧПУ, промышленные роботы, программируемые контроллеры и другое оборудование автоматизированного производства".

    ОтветитьУдалить
  4. Осенью планируется первые нормативные акты в части выполнения "Основных направлений..." выпустить...

    ОтветитьУдалить
  5. а где достать все эти документы по ксии?

    ОтветитьУдалить
  6. Интересно, а кто читал новый по ГОСТ РО 0043-00******** (для КИИС ) - он же практически повторяет требования заложенные в ISO 27001\27002 да и требования ФЗ№152 частично дублирует. Зачем же опять огород городить ? Неужели нельзя принять единый ГОСТ по ИБ и сказать например : СПДН уровня 1 должна соответствовать требованиям к классу №1 ГОСТ, КИИС уровня 2 должна соответствовать требованиям к классу №1 ГОСТ

    ОтветитьУдалить
  7. Самое интересное что ни кто не обратил внимание на область распространения РД ФСТЭК по КСИИ. Или для всех все очевидно?

    ОтветитьУдалить