Алексей Ветров
Эксперт по защите данных IC-TECH
«Выявление угроз» для объекта КИИ в РФ регламентируется не одним документом, а связкой: закон 187-ФЗ задаёт общий каркас, ПП №127 требует учитывать угрозы при категорировании, а приказы ФСТЭК №239 и №235 описывают, как именно делать анализ угроз, оформлять модель угроз и встроить это в систему безопасности.
Что говорит законодательство
Базовые НПА по выявлению угроз для объектов КИИ
- Федеральный закон №187-ФЗ
Закрепляет правовые основы безопасности КИИ и обязанности субъектов КИИ (включая обеспечение безопасности объектов). - Постановление Правительства РФ №127 (правила категорирования)
Прямо говорит, что угрозы безопасности информации в отношении объекта КИИ являются исходными данными для категорирования (наряду с данными об инцидентах и др.). - Приказ ФСТЭК России №239 (требования по безопасности значимых объектов КИИ)
Здесь максимально «предметно» про угрозы: анализ угроз и разработка/уточнение модели угроз – обязательная часть работ по обеспечению безопасности значимого объекта; описано, что включает анализ угроз, и что в качестве исходных данных используется Банк данных угроз ФСТЭК + иные источники. - Приказ ФСТЭК России №235 (создание и функционирование систем безопасности значимых объектов)
Закрепляет организационную сторону: система безопасности должна обеспечивать выполнение требований, а в составе организационно-распорядительных документов упоминаются, в том числе, модели угроз и мероприятия/порядки, связанные с безопасностью.
Дополняющие документы (если применимо)
- Отраслевые “дополнительные требования” к значимым объектам КИИ в отдельных сферах (например, в электроэнергетике) – могут добавлять специфические требования, которые учитываются и при работе с угрозами/архитектурой защиты.
- Если объект КИИ одновременно является ГИС/ИСПДн и т.п., то набор требований (и подходы к угрозам) дополняется соответствующими НПА по этим режимам – это прямо отражено в логике применения требований ФСТЭК по КИИ.
Как это работает на практике
Обычно процесс «по нормативке» выглядит так:
- На этапе категорирования (ПП №127) вы фиксируете, какие угрозы актуальны для объекта, чтобы корректно оценивать возможные последствия инцидентов и оформить материалы категорирования.
- Если объект стал значимым – переходите к требованиям ФСТЭК: делаете анализ угроз и оформляете модель угроз по логике приказа №239 (с опорой на БДУ ФСТЭК и другие источники).
- Параллельно выстраиваете «организационный контур» (роли, документы, процессы) в рамках системы безопасности по №235, чтобы модель угроз не была “бумагой”, а реально использовалась в управлении защитой.
Выводы и рекомендации
Если нужен короткий ответ «что открывать в первую очередь»: ПП №127 (про угрозы как исходные данные) + приказы ФСТЭК №239/№235 (как делать анализ и модель угроз для значимого объекта).
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
