Новые требования ФСТЭК к безопасности значимых объектов КИИ (ЗОКИИ) — это переход от формального соответствия к регулярному и измеримому контролю защищенности. В материале разбираем, как применять требования Приказ ФСТЭК № 235 и Приказ ФСТЭК № 239 на практике и почему их совокупное влияние требует пересмотра процессов контроля, отчетности и работы с вендорами. Также показываем зоны риска, где формальное соблюдение требований не гарантирует реальную защищенность и может привести к претензиям регулятора.
ОГЛАВЛЕНИЕ
Введение
ФСТЭК России внесла важные изменения в приказы ФСТЭК № 235 и № 239, направленные на усиление контроля за состоянием безопасности ЗОКИИ. Обратим внимание, что пока это только проект документа для общественного обсуждения, по его итогам возможны корректировки. Важно, что теперь вводится новая система оценки защищенности, которая делает мониторинг состояния КИИ регулярным и количественным.
Приказ ФСТЭК № 235
Теперь контроль за безопасностью значимых объектов КИИ переходит от описательного подхода к числовому, количественному измерению, для этого вводится обязательный расчет двух ключевых показателей.
В рамках регулярного контроля необходимо рассчитывать:
✔ Показатель защищенности (Кзи) — отражает текущее состояние безопасности объекта по отношению к базовому набору угроз (периодичность — не реже одного раза в шесть месяцев).
✔ Показатель уровня зрелости (Пзи) — определяет, насколько достаточны и эффективны уже проведенные мероприятия по обеспечению безопасности (периодичность — не реже одного раза в два года).
В рамках регулярного контроля необходимо рассчитывать:
✔ Показатель защищенности (Кзи) — отражает текущее состояние безопасности объекта по отношению к базовому набору угроз (периодичность — не реже одного раза в шесть месяцев).
✔ Показатель уровня зрелости (Пзи) — определяет, насколько достаточны и эффективны уже проведенные мероприятия по обеспечению безопасности (периодичность — не реже одного раза в два года).
КАК ЭТО БУДЕТ НА ПРАКТИКЕ
Методика расчета значений утверждается отдельными документами ФСТЭК России (на них есть прямая ссылка в тексте изменений). Субъект КИИ обязан провести оценку и сравнить полученные результаты с нормированными значениями.
Фактически Приказ ФСТЭК 235 переводит контроль безопасности в регулярный измеримый процесс с обязательной отчетностью.
Методика расчета значений утверждается отдельными документами ФСТЭК России (на них есть прямая ссылка в тексте изменений). Субъект КИИ обязан провести оценку и сравнить полученные результаты с нормированными значениями.
- Внутреннее реагирование: если значения не соответствуют норме, в течение 3 календарных дней после оценки необходимо проинформировать руководителя субъекта КИИ, который примет решение о внедрении дополнительных мер защиты.
- Внешняя отчетность: результаты расчетов (значения Кзи и Пзи) направляются во ФСТЭК России в срок не позднее 5 рабочих дней.
Фактически Приказ ФСТЭК 235 переводит контроль безопасности в регулярный измеримый процесс с обязательной отчетностью.
Приказ ФСТЭК № 239
Изменения вносят существенные коррективы в правила эксплуатации средств защиты информации на ЗОКИИ. Основной вектор — снижение зависимости от внешних вендоров и полное исключение бесконтрольных каналов связи с оборудованием.
ЗАПРЕТ НА БЕСКОНТРОЛЬНУЮ ПЕРЕДАЧУ ДАННЫХ
В ЗОКИИ прямо запрещаются:
ЧТО ДЕЛАТЬ, ЕСЛИ ПОДДЕРЖКА ВЕНДОРА НЕВОЗМОЖНА ИЛИ НЕОБХОДИМ ДОСТУП
Изменения в пункте 31 Приказа № 239 четко регламентируют эту ситуацию:
1. При выборе средств защиты нужно заранее проанализировать наличие ограничений от разработчика (например, санкционных или лицензионных) на использование ПО на конкретном объекте.
2. Если техническая поддержка от разработчика невозможна (или доступ к ней запрещен), субъект КИИ обязан реализовать собственные компенсирующие организационные и технические меры.
3. Если удаленный доступ исключить технически невозможно (например, из-за архитектуры системы), должен быть реализован жесткий периметр контроля, включающий:
- строгое определение лиц и устройств с правом доступа и минимизацию их полномочий;
- шифрование каналов связи при доступе;
- полный мониторинг, регистрация и анализ всех действий удаленных администраторов с невозможностью отказа от выполненных действий.
↪︎ Дополнительно закрепляется требование: ПО и программно-аппаратные средства для ЗОКИИ 1 и 2 категорий должны физически размещаться на территории Российской Федерации. Исключение сделано только для зарубежных филиалов субъектов КИИ или случаев, прямо оговоренных международными договорами РФ.
Именно здесь Приказ ФСТЭК 239 наиболее сильно влияет на операционную модель эксплуатации и взаимодействия с подрядчиками.
ЗАПРЕТ НА БЕСКОНТРОЛЬНУЮ ПЕРЕДАЧУ ДАННЫХ
В ЗОКИИ прямо запрещаются:
- удаленный доступ к ПО и оборудованию для обновления или управления со стороны лиц, не являющихся сотрудниками субъекта КИИ (включая сотрудников разработчика/вендора);
- локальный (физический) бесконтрольный доступ посторонних лиц к средствам защиты;
- бесконтрольная передача любой технологической информации разработчику или иным третьим лицам.
ЧТО ДЕЛАТЬ, ЕСЛИ ПОДДЕРЖКА ВЕНДОРА НЕВОЗМОЖНА ИЛИ НЕОБХОДИМ ДОСТУП
Изменения в пункте 31 Приказа № 239 четко регламентируют эту ситуацию:
1. При выборе средств защиты нужно заранее проанализировать наличие ограничений от разработчика (например, санкционных или лицензионных) на использование ПО на конкретном объекте.
2. Если техническая поддержка от разработчика невозможна (или доступ к ней запрещен), субъект КИИ обязан реализовать собственные компенсирующие организационные и технические меры.
3. Если удаленный доступ исключить технически невозможно (например, из-за архитектуры системы), должен быть реализован жесткий периметр контроля, включающий:
- строгое определение лиц и устройств с правом доступа и минимизацию их полномочий;
- шифрование каналов связи при доступе;
- полный мониторинг, регистрация и анализ всех действий удаленных администраторов с невозможностью отказа от выполненных действий.
↪︎ Дополнительно закрепляется требование: ПО и программно-аппаратные средства для ЗОКИИ 1 и 2 категорий должны физически размещаться на территории Российской Федерации. Исключение сделано только для зарубежных филиалов субъектов КИИ или случаев, прямо оговоренных международными договорами РФ.
Именно здесь Приказ ФСТЭК 239 наиболее сильно влияет на операционную модель эксплуатации и взаимодействия с подрядчиками.
Дополнительные меры по Указу Президента № 250
Новый пункт 33 ссылается на Указ Президента от 1 мая 2022 г. № 250 и обязывает принимать дополнительные меры защиты информации, установленные требованиями Указа Президента.
Коротко о главном
В совокупности изменения формируют новую модель работы с безопасностью КИИ: от периодических проверок — к постоянному контролю, измерению и оперативному реагированию. И если раньше требования можно было закрывать формально, то теперь Приказ ФСТЭК 235 239 фактически требует выстроенной системы управления безопасностью, встроенной в операционные процессы компании.
Нужна консультация эксперта?
Оставьте заявку >>>
