Нормативная логика связи категорирования и мер защиты
Связь категорирования с планированием мер защиты установлена:
-
Федеральным законом от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
подзаконными актами, регулирующими требования к защите значимых объектов КИИ.
Закон выстроен по принципу:
категория значимости → объём обязательных требований → набор мер защиты.
Определение обязательности внедрения мер защиты
Результаты категорирования позволяют однозначно определить:
-
подлежит ли объект обязательной защите как значимый объект КИИ;
-
требуется ли внедрение регламентированных мер безопасности;
-
распространяются ли на объект требования регуляторов в полном объёме.
Если объект признан незначимым, обязательные меры защиты по КИИ не применяются, что должно быть подтверждено результатами категорирования.
Формирование объёма и уровня мер защиты
Категория значимости напрямую влияет на:
-
глубину и строгость мер защиты;
-
уровень организационных и технических требований;
-
требования к мониторингу, реагированию и восстановлению.
Чем выше категория значимости объекта КИИ, тем:
-
выше требования к устойчивости;
-
строже требования к управлению доступом;
-
жёстче требования к контролю и реагированию на инциденты.
Приоритизация ресурсов и мероприятий
Категорирование используется для:
-
расстановки приоритетов в защите объектов КИИ;
-
распределения финансовых и кадровых ресурсов;
-
планирования этапности внедрения мер безопасности.
Без результатов категорирования невозможно обоснованно определить, какие объекты требуют первоочередной защиты, а какие — нет.
Связь анализа последствий с выбором мер защиты
Меры защиты планируются не «вообще», а:
-
с учётом видов последствий нарушения функционирования;
-
с учётом их масштаба и длительности;
-
с учётом критичных функций объекта КИИ.
Например:
-
при высоких социальных последствиях приоритет получают меры отказоустойчивости;
-
при значительных экономических последствиях — меры восстановления и резервирования;
-
при государственных последствиях — меры контроля и устойчивости управления.
Обоснование достаточности мер защиты
Результаты категорирования используются для:
-
обоснования, почему выбран именно такой набор мер;
-
подтверждения достаточности или необходимости усиления защиты;
-
защиты позиции субъекта КИИ при проверках.
Регулятор оценивает меры безопасности в связке с категорией, а не изолированно.
Использование результатов при разработке документов ИБ
Категорирование служит основанием для:
-
разработки политики безопасности значимых объектов КИИ;
-
формирования моделей угроз;
-
определения требований к системам защиты;
-
планирования мероприятий по реагированию и восстановлению.
Без корректной категории эти документы считаются методически необоснованными.
Контроль и надзор со стороны регулятора
При проверках ФСТЭК России:
-
сопоставляет категорию значимости с реализованными мерами защиты;
-
оценивает, соответствуют ли меры установленной категории;
-
выявляет как недостаточную, так и избыточную защиту.
Несоответствие между категорией и мерами защиты рассматривается как нарушение требований 187-ФЗ.
Актуализация мер защиты при изменении категории
Если категория значимости:
-
изменена;
-
подтверждена при актуализации;
-
пересмотрена по требованию регулятора,
план мер защиты подлежит:
-
пересмотру;
-
актуализации;
-
корректировке объёма и приоритетов.
Категорирование и защита — это единый, непрерывный цикл, а не разрозненные этапы.
Ключевой вывод
Результаты категорирования КИИ используются при планировании мер защиты для того, чтобы:
-
определить обязательность и объём требований безопасности;
-
выбрать уровень и приоритет мер защиты;
-
обосновать достаточность реализованных решений;
-
обеспечить соответствие требованиям 187-ФЗ;
-
выстроить корректное взаимодействие с регуляторами.
Без корректного категорирования невозможно ни законно, ни обоснованно спланировать защиту объекта КИИ — именно поэтому этот этап является фундаментом всей системы безопасности.
