Документы по защите ИСПДн и КИИ - Форум по вопросам информационной безопасности

Добрый день. Имеются ИСПДн, по ним имеется пакет документов, эти же ИСПДн являются критическими объектами КИИ, подскажите, как правильно совмещать документы которые пересекаются в 2 разных законодательствах и несут в себе одинаковую информацию? Переписать действующие по ИСПДн с включением в описание приказов и ПП по КИИ или лучше выпустить отдельные приказы?

Конкретно эти не имел дела. Но всегда старались делать два разных комплекта: когда проверяющий лезет "не в свой раздел", он, вместо того, чтобы просто поставить себе "имеется", начинает читать незнакомое. И писАть идиотские замечания, поскольку смежные разделы знает хуже.

Я к примеру, ну не знаю, регламент работы пользователей с доступом в интернет, порядок организации парольной защиты, антивирусной, порядок резервного копирования, права доступа к ИСПДн в этой же ИСПДн она же объект кии, регламент доступа к испдн она же кии, и другие.

Здравствуйте. Вопрос такой. В недавнем времени Минпромторг разродился и порадовал нас своим перечнем объектов КИИ для предприятий ОПК, согласованным с ФСТЭК. Ни каких пояснений к этому перечню нет. Туда походу вкарячили всё,что есть на свете,каким боком к этому подходить непонятно. Конкретно интересует ОПС,СКУД,система вентиляции,может кто уже разобрался в этом бреде?

to Сергей
Упустил как-то это сообщение...
imho, отраслевые перечни - это при равных прочих не более чем призыв "рассмотреть", но не призыв "обязательно включить в свой перечень ОКИИ" (кто бы там что ни говорил, ага). Потому что по 127 ПП, определяющему весь порядок категорирования, такие отраслевые перечни включены в п. 10ж и являются не более чем "исходными данными", а не обязаловкой. Иными словами, та же СКУД в крайне малом числе случаев может являться ОКИИ и иметь хоть какую-то связь хотя бы с одним показателем значимости, чтобы ей вообще можно было присвоить или обосновать отказ от присвоения категории значимости...

ЗЫ Упреждая, про бардак связей и казуистику формулировок в курсе, но факт остается фактом...

Это понятно. Не понятно как мне это в протоколе "красиво" обосновать. Категорирование ОКИИ было проведено в декабре, Перечень ОКИИ сформирован в соответствии с ПП 127 и направлен в ФСТЭК, значимых ОКИИ нет, и тут в январе эта красота прилетает "масло масляное". Сейчас надо проводить заседание комиссии повторно, в этом перечне есть уже ОКИИ которые прошли категорирование, по остальным надо красиво отбиться,критических процессов в них нет. Как это обосновать,подскажите. Спасибо.

to Сергей
Точно так же, как и для иных своих ОИ - определяете крит.процессы (недопустимые события и т.п.), оцениваете влияние, оцениваете возможность комп.атак и их влияние, делаете выводы. Причем отдельные Протокол и Акт по факту изменений законодательства (ввода в действия нового отраслевого перечня) можно замутить еще на этапе решения, включать в Перечень или нет. Далее аналогично уже со сравнением с показателями критериев значимости, если в Перечень-таки что-то попало...

Спасибо, ответ понятен. Вопрос еще и в том относить объект к КИИ или нет. Например взять ту же ОПС,вроде и АСУ, а вроде и нет, ведь АСУ это система:тех.средства,ПО, аппаратно программные средства + человек. В нашем случае это тоже система, только в ней просто блок управления и индикации,куча датчиков, всё, больше ничего, ну и человек сидит в качестве диспетчера. В перечень включили,пояснений нет, кроме как критический процесс - оповещение о пожаре и всё, да у нас под это можно все предприятие подвести,непонятно.

to Сергей
imho, все любители детализировать крит.процессы до точки бегут впереди паровоза. 127-ПП говорит скорее о "типах" крит.процессов, вот и нечего на себя брать лишние обязательства - нехай в выводах комиссии будут рассматриваться "управленческие", "технологические" и т.д., а не "процесс производства того-то из того-то". Степень же критичности в каждом конкретном случае все равно придется определять раздельно - таким образом, какая разница, как на бумаге декларирован процесс?...
Что же касается АСУ, то ключевое - это "контроль" и (или) "управление". Если ваша ОПС самостоятельно ничем не управляет, а только сигнализирует, то "управление" отпадает. С "контролем" все спорно, но, imho, так можно дойти до маразма (в стиле "информация - это все, что нас окружает", ага). Поэтому комиссионно определитесь, кто же все-таки контролирует процесс выявления/устранения пожара - система или человек-диспетчер?
Если ОПС более глобальна и ведет журналы, метки, проч. (в том числе для последующих расследований нештатных ситуаций), то она ближе к понятию ИС. Но опять-таки, все зависит от степени автоматизации. Видел случай отнесения связки микроконтроллер+flash-память, но это же не повод...
Лучше определиться, в каких местах установлены "сенсоры" ОПС, что будет в случае их принудительного отключения + умышленного поджога, как быстро на это все среагирует персонал и иные лица, дублирующие автоматику (если они дублируют). И начать стоит как минимум с изучения текущих регламентов аварийной службы. Может статься, что как и в большинстве случаев вся реализованная автоматика чисто для галочки, а по факту и обнаружением, и тем более устранением заведует целиком и полностью "человеческий" ресурс, ага...

ЗЫ Вот случай полностью автоматизированной ОПС + хранение взрывчатых веществ + вероятность диверсии от вполне себе актуального нарушителя == весьма любопытная ситуация с позиции анализа и последующего решения...