Реализация мер ИАФ из приказа ФСТЭК №239

Подготовленная мной сводная Таблица с мерами из приказов ФСТЭК России пользуется популярностью - даже уже не один раз успел получить от читателей благодарность за её публикацию. В связи с этим решил продолжить тему и пойти дальше.

Мой коллега из УЦСБ Николай Домуховский в своём докладе хорошо осветил проблематику излишней сосредоточенности исключительно на мерах, поэтому останавливаться ещё раз на этом вопросе не буду.

Раз так часто (в том числе в Telegram-группе КИИ 187-ФЗ спрашивают, чем именно конкретную меру можно/нужно закрывать, решил начать выкладывать в общее пользование соответствующие рекомендации.

Только сначала хочу обратить внимание на пункт из Приказа ФСТЭК России №235 от 21.12.2017 (ред. от 27.03.2019) Об утверждении Требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования:

19.[…] В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов критической информационной инфраструктуры (при их наличии).

Схожее сформулировано и в Приказе ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ:

27.Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение. При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).

И ещё одна цитата из того же Приказа ФСТЭК России №239:

26.[…] В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.

В общем, это я к тому, что не стоит для выполнения требований приказов ФСТЭК России сломя голову бежать закупать технические средства защиты: бывают и другие варианты - не менее эффективные, но точно менее затратные. А то один из представителей компании-производителя средств защиты информации на недавнем GIS Days в Санкт-Петербурге, например, радостно сообщил, что по их мнению для выполнения требований по обеспечению безопасности ЗО КИИ подходят больше двух десятков типов решений =) Конечно, подходят, но реально ли они все нужны?

Теперь к самим реализациям.

Ввиду объёмности задачи по обзору всех 152 мер декомпозировал её на несколько частей и сегодня представляю 8 мер из первого блока: I. Идентификация и аутентификация (ИАФ).

Добавлено 26.05.2021
Формат представления мер был изменён, так что картинка ниже более нерелевантна, но сохранена для истории.

  I. Идентификация и аутентификация (ИАФ)
I. Идентификация и аутентификация (ИАФ)

На дополнения [01-00], [01-01] и т.д. не обращайте внимания - они добавлены исключительно для сохранения правильной сортировки: в этом блоке проблема не очевидна, но в том же разделе УПД после УПД.1 иначе будет идти УПД.10, а не УПД.2.

В качестве исходных данных использовал выложенные в открытом доступе рекомендации по применению продуктов компаний Код Безопасности, Инфовотч, а также некоторые собственные (соглашусь, порой весьма спорные соображения) и рекомендации по применению DATAPK - решения компании УЦСБ для обеспечения безопасности АСУ ТП.

Ввиду краткости формулировок в приказе ФСТЭК России (меры только поименованы, их содержание не раскрывается), а также отсутствия официальных методических рекомендаций, остаётся обширное поле для фантазий - что в действительности скрывается за конкретным требованием?

Ну, а с учётом того, что Объектом КИИ может оказаться ИС, ИТКС или АСУ самого разного масштаба, предназначения и архитектуры, то такие общие рекомендации и вовсе начинают походить на пресловутое: “Нужно делать как нужно, а как не нужно делать не нужно”.

В каком-то смысле подспорьем может служить методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах», датированный 2014 годом, поэтому ко всем мерам добавлен раздел “Аналоги в других приказах ФСТЭК России”, но за прошедшие 5 лет много чего изменилось, да и ОКИИ - далеко не всегда ГИС.

Так что ваши дополнения, предложения и уточнения приветствуются.

--- === @zlonov === ---