Реализация мер ИАФ из приказа ФСТЭК №239

02.10.2019 Комаров Алексей , 1

Подготовленная мной сводная Таблица с мерами из приказов ФСТЭК пользуется популярностью — даже уже не один раз успел получить от читателей благодарность за её публикацию. В связи с этим решил продолжить тему и пойти дальше.

Мой коллега из УЦСБ Николай Домуховский в своём докладе хорошо осветил проблематику излишней сосредоточенности исключительно на мерах, поэтому останавливаться ещё раз на этом вопросе не буду.

Раз так часто (в том числе в Telegram-группе КИИ 187-ФЗ) спрашивают, чем именно конкретную меру можно/нужно закрывать, решил начать выкладывать в общее пользование соответствующие рекомендации.

Только сначала хочу обратить внимание на пункт из Приказа ФСТЭК России №235 от 21.12.2017 (ред. от 27.03.2019) Об утверждении Требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования:

19. […] В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов критической информационной инфраструктуры (при их наличии).

Схожее сформулировано и в Приказе ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ

27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов — средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).

При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).

И ещё одна цитата из того же Приказа ФСТЭК России №239:

26. […] В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.

В общем, это я к тому, что не стоит для выполнения требований приказов ФСТЭК России сломя голову бежать закупать технические средства защиты: бывают и другие варианты — не менее эффективные, но точно менее затратные. А то один из представителей компании-производителя средств защиты информации на недавнем GIS Days в Санкт-Петербурге, например, радостно сообщил, что по их мнению для выполнения требований по обеспечению безопасности ЗО КИИ подходят больше двух десятков типов решений =) Конечно, подходят, но реально ли они все нужны?

Теперь к самим реализациям. Ввиду объёмности задачи по обзору всех 152 мер декомпозировал её на несколько частей и сегодня представляю 8 мер из первого блока: I. Идентификация и аутентификация (ИАФ).

I. Идентификация и аутентификация (ИАФ)
I. Идентификация и аутентификация (ИАФ)

На дополнения [01-00], [01-01] и т.д. не обращайте внимание — они добавлены исключительно для сохранения правильной сортировки: в этом блоке проблема не очевидна, но в том же разделе УПД после УПД.1 иначе будет идти УПД.10, а не УПД.2.

В качестве исходных данных использовал выложенные в открытом доступе рекомендации по применению продуктов компаний Код Безопасности, Инфовотч, а также некоторые собственные (соглашусь, порой весьма спорные соображения) и рекомендации по применению DATAPK — решения компании УЦСБ для обеспечения безопасности АСУ ТП.

Ввиду краткости формулировок в приказе ФСТЭК России (меры только поименованы, их содержание не раскрывается), а также отсутствия официальных методических рекомендаций, остаётся обширное поле для фантазий — что в действительности скрывается за конкретным требованием?

Ну, а с учётом того, что Объектом КИИ может оказаться ИС, ИТКС или АСУ самого разного масштаба, предназначения и архитектуры, то такие общие рекомендации и вовсе начинают походить на пресловутое: «Нужно делать как нужно, а как не нужно делать не нужно».

В каком-то смысле подспорьем может служить методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах», датированный 2014 годом, поэтому ко всем мерам добавлен раздел «Аналоги в других приказах ФСТЭК России«, но за прошедшие 5 лет много чего изменилось, да и ОКИИ — далеко не всегда ГИС.

Так что ваши дополнения, предложения и уточнения приветствуются.

Перейти к обсуждению