ФСТЭК России опубликовал проект приказа “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.

В отличие от предыдущего приказа по системе безопасности значимых объектов КИИ, данный приказ является более классическим и уже привычным нам. 

Документ содержит: требования обеспечения безопасности на различных этапах жизненного цикла значимых объектов КИИ и меры защиты, принимаемые для обеспечения безопасности значимых объектов КИИ).

Основным новшеством является вынос работ по моделированию угроз с этого этапа в этап разработки мер ОБ. В итоге на этапе формирования требований осталось только категорирование и формирование ТЗ. Причем надо понимать, что такое ТЗ будет без учета актуальных угроз, без выбора конкретных меры защиты – придется обходится цитированием общих требований из новых приказов ФСТЭК.

Также планируется разрешить оценивать в основном только угрозы, связанные с компьютерными атаками. Уточняется, что модель угроз может быть одна на несколько объектов, но только если они однотипные.

В проекте ФСТЭК отмечена необходимость разработки обоснований для случаев, когда меры промышленной и физической безопасности заменяют меры из базового набора мер защиты.

Стоит отметить, что в новом приказе существенно сокращены наименования мер защиты. Короткие наименования мер защиты гораздо удобнее использовать в проектной документации, при обсуждении, согласовании и другой коллективной работе. Аналогичные короткие имена применяются в NIST.  Чтобы разъяснить, что скрывается под короткими наименованиями мер защиты, ФСТЭК России планирует выпустить методический документ с содержанием и правилами реализации мер защиты КИИ.

В составе мер защиты также произошло много изменений - в основном они касались смены условного обозначения мер защиты и переносу меры в другую группу. Также появилось несколько новых мер защиты и рядом мер были расширены базовые наборы, а 4 блока мер защиты: АНЗ, ЗСВ, ОБР и УБИ удалены совсем.

Ознакомиться с полным текстом проекта Приказа можно здесь.

Подготовлено по материал СМИ