Как определяется состав мер безопасности для значимого объекта КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Состав мер безопасности для значимого объекта КИИ определяется не “по вкусу” и не «какой антивирус поставить», а по понятной логике ФСТЭК:
сначала берём обязательный базовый набор мер для вашей категории значимости (1/2/3), затем адаптируем его под реальные угрозы, технологии и архитектуру объекта, и при необходимости дополняем мерами из других обязательных НПА (если на объекте есть, например, ПДн/ГИС/тайна и т.д.).

Что говорит законодательство

Требования к безопасности значимых объектов КИИ дифференцируются по категории значимости (1/2/3) и включают организационные и технические меры, а также параметры/характеристики применяемых средств защиты.

Приказ ФСТЭК №239 закрепляет, что:

• • в значимых объектах реализуются меры из установленных групп, а состав мер по категориям приведён в приложении;
  • выбор мер включает: (а) определение базового набора, (б) его адаптацию, (в) дополнение требованиями других НПА; при этом базовый набор определяется по категории, а адаптация – по угрозам, технологиям и особенностям функционирования.
  • при появлении дополнительных угроз, под которые нет определённых мер, разрабатываются компенсирующие меры.

Категория значимости объекта определяется по правилам категорирования (ПП РФ №127) и для создаваемых объектов может уточняться в ходе проектирования.

Приказ ФСТЭК №235 описывает организацию работ по созданию/функционированию системы безопасности, включая анализ угроз и уязвимостей и обеспечение реализации требований по безопасности.

Как это работает на практике

Обычно процесс выглядит так:

1. Фиксируем исходные данные
   Категория значимости (1/2/3), границы объекта, состав компонентов, связи с внешними системами/сетями, режимы работы, критичные сервисы.
2. Формируем базовый набор мер по №239
   Берём меры из приложения №239 строго для вашей категории – это и есть “скелет” требований.
3. Делаем модель угроз / анализ угроз и уязвимостей
   На основании архитектуры и сценариев нарушителя уточняем, какие угрозы актуальны и где “тонкие места”. В логике №235 это обязательная часть работ по обеспечению безопасности.
4. Адаптируем базовый набор под реальный объект
   ФСТЭК прямо говорит: адаптация идёт с учётом угроз, применяемых ИТ и особенностей функционирования; некоторые меры могут быть исключены, если они “привязаны” к технологиям, которых на объекте нет.
5. Проектируем реализацию мер и выбираем типы/виды СЗИ
   На этапе проектирования подсистемы безопасности определяются и обосновываются меры, подбираются виды/типы СЗИ, выбираются конкретные средства с учётом категории, совместимости, функций и ограничений, а также закладывается архитектура установки/взаимосвязей.
6. Дополняем набор мерами из иных НПА (если применимо)
   Например, если на объекте параллельно обрабатываются ПДн, есть гостайна, действует отраслевое регулирование – набор мер дополняется соответствующими обязательными требованиями.
7. Компенсирующие меры
   Если внедряете новую технологию/нетиповой контур и выявляются угрозы, под которые “в лоб” нет мер, делаются компенсирующие меры и оформляется обоснование.
8. Оформляем доказательную базу
   Итоговый состав мер должен быть “переведён” в: проектные решения, настройки, регламенты/политики, матрицу соответствия «мера → реализация → подтверждение».

Выводы и рекомендации

Состав мер для значимого объекта КИИ определяется по трём шагам №239: базовый набор по категории → адаптация → дополнение (и при необходимости компенсирующие меры).

Ключевые входные данные: категория значимости (ПП №127) + модель угроз/анализ уязвимостей + фактическая архитектура объекта.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге