Важно: стандарты не применяются напрямую, но используются как методологическая основа при создании российских требований.
Что говорит законодательство
В действующих НПА по КИИ нет прямой ссылки на обязательное применение международных стандартов, потому что:
- Россия использует собственную модель регулирования КИИ;
- обязательные требования устанавливаются исключительно ФСТЭК и ФСБ;
- применение международных стандартов возможно лишь как добровольная практика для повышения качества процессов.
Однако ряд международных документов фактически встроены концептуально в российские подходы к управлению рисками, обеспечению устойчивости и созданию систем безопасности.
Какие международные стандарты учитываются на уровне подходов и методологии
Перечень основных стандартов, которые повлияли на российские требования (не обязательно прямо, но концептуально).
- ISO/IEC 27000-серии — управление информационной безопасностью
В частности:
- ISO/IEC 27001 — система менеджмента ИБ;
- ISO/IEC 27002 — меры безопасности;
- ISO/IEC 27005 — управление рисками;
- ISO/IEC 27035 — управление инцидентами.
Почему важно: многие положения ФСТЭК (меры № 239, структура СБЗОКИИ в приказе № 235) построены на аналогичных принципах: управление рисками, политика безопасности, управление активами, мониторинг, реагирование.
- ISA/IEC 62443 — безопасность АСУ ТП и промышленной автоматизации
Этот стандарт является международной базой по защите промышленных систем.
Российские нормативы для объектов КИИ (включая АСУ ТП) взяли оттуда следующие подходы:
- сегментация сети и разделение зон безопасности;
- управление доступом;
- контроль целостности;
- управление конфигурациями;
- защита взаимодействия между уровнями АСУ ТП.
Стандарты серии 62443 активно используются российскими промышленными компаниями в части внутренних регламентов, даже если не являются обязательными.
- NIST SP 800-серии (США)
В первую очередь:
- NIST SP 800-82 — Guide to ICS Security;
- NIST Cybersecurity Framework (CSF);
- NIST 800-53 — контрольные меры по ИБ.
Элементы, которые повлияли на российские документы:
- модель жизненного цикла защиты;
- классификация угроз;
- подходы к реагированию;
- понятие функциональной устойчивости.
Хотя NIST не применяется формально, многие методические рекомендации ФСТЭК построены на аналогичной логике.
- ENISA (Европейское агентство по кибербезопасности)
Материалы ENISA оказывают влияние в части:
- анализа угроз;
- методологий оценки рисков;
- принципов устойчивости критических инфраструктур.
- ITU-T (Международный союз электросвязи)
Стандарты ITU рассматриваются при разработке требований:
- к сетям связи;
- к защите телекоммуникационной инфраструктуры;
- к механизмам обеспечения устойчивости.
Особенно это касается объектов КИИ в сфере связи.
- ISO 22301 (Business Continuity Management)
Стандарт по обеспечению непрерывности бизнеса.
Он повлиял на требования ФСТЭК к:
- планированию восстановления;
- резервированию;
- обеспечению непрерывности критических процессов.
Как это работает на практике
- Российские регуляторы не требуют прямого соблюдения ISO или NIST, но при проектировании СБЗОКИИ многие организации используют международные стандарты как методологическую базу.
- Внутренние документы защищённых систем часто строятся на принципах ISO 27001 или 62443, адаптированных под отечественные требования.
- ФСТЭК в комментариях и практических рекомендациях неоднократно указывает, что российские меры безопасности «концептуально близки» к международным моделям управления рисками и системной безопасности.
Выводы и рекомендации
Российское законодательство не включает международные стандарты как обязательные, но учитывает их принципы.
Наибольшее влияние оказывают:
-
- ISO/IEC 2700x — управление ИБ;
- IEC 62443 — безопасность АСУ ТП;
- NIST 800-серии — методология защиты систем;
- ITU-T — защита телеком-инфраструктуры;
- ISO 22301 — обеспечение непрерывности.
Эти стандарты можно использовать для повышения зрелости системы безопасности, но обязательными остаются только НПА ФСТЭК, ФСБ и Правительства РФ.
