КИИ. Методические рекомендации от Ассоциации документальной электросвязи

10.07.2019 Борисов Сергей , ведущий инженер нИБ
разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.
Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.

Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.

Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:

·       

конкретные наименования для типовых объектов КИИ

·       

суммы налоговых отчислений

·       

допустимое время простоя из договоров

·       

количество абонентов и зоны обслуживания

·       

указать гос. органов которым предоставляют услуги связи

Выводы:

·       

Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?

Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)

·       

Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):

o  

Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета





o  

Обоснование неприменимости ряда показателей


o   Модель нарушителя (хотя по моему мнению она слишком суровая)


o  

Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)

Перейти к обсуждению