Использование документов ФСТЭК по КСИИ для объектов КИИ


(Алексей Комаров) #1

ФСТЭК: Базовая модель угроз безопасности информации и Методика определения актуальных угроз безопасности информации #КСИИ могут применяться для моделирования угроз безопасности информации на значимых объектах #КИИ РФ.

Источник: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1585-informatsionnoe-soobshchenie-fstek-rossii-ot-4-maya-2018-g-n-240-22-2339

Текст полностью:

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О МЕТОДИЧЕСКИХ ДОКУМЕНТАХ ПО ВОПРОСАМ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КЛЮЧЕВЫХ СИСТЕМАХ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

от 4 мая 2018 г. N 240/22/2339

В 2005-2008 годах ФСТЭК России были разработаны и утверждены методические документы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации.

В связи с внесением изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и определением ФСТЭК России федеральным органом исполнительной власти, уполномоченным в области безопасности критической информационной инфраструктуры, с 1 января 2018 г. ФСТЭК России утратила полномочия в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры.

Учитывая изложенное, в соответствии с решением директора ФСТЭК России от 3 мая 2018 г. Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 18 мая 2007 г., и Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, утвержденные ФСТЭК России 19 ноября 2007 г., признаны утратившими силу.

При этом Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., а также Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г., могут применяться для моделирования угроз безопасности информации на значимых объектах критической информационной инфраструктуры Российской Федерации до утверждения ФСТЭК России соответствующих методических документов.

Заместитель директора

В.Лютиков


(Сергей Ершов) #2

Так эти-же документы, если я не ошибаюсь, предоставлялись только лицензиатам и имеют не снятый гриф “ДСП”. Хотя, если это на самом деле так, то пометку “ДСП”, по моему мнению, надо-бы снять (по аналогии с Методикой определения актуальных угроз… 2008 г.), так как КСИИ то уже как-бы официально нет (Указ Президента РФ от 25.11.2017 N569 “О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085”).
Как “использовать” в таком случае указанные документы НЕлицензиатам? Лицензию что-ли получать только для того, чтобы моделировать угрозы для КИИ? Но ведь если безопасность объектов КИИ обеспечивает сам субъект КИИ, которому эти объекты принадлежат на законных основаниях, то лицензия на ТЗКИ не нужна.
Я понимаю, что в информационном сообщении ФСТЭК звучит словосочетание “могут применяться”, но уж если целью сообщения было искреннее желание подсказать и облегчить труд безопасников на местах, то уж хотелось бы и доступ к озвученным документам получить (например, размещенным на сайте ФСТЭК в разделе “Техническая защита информации”).
Прямо улыбнуло сообщение ФСТЭК , если честно)))
Сначала правда было недоумение в легко выраженной форме.


(Алексей Комаров) #3

Пометка ДСП не ограничивает к ним доступ только лицензиатов - можно обратиться во ФСТЭК (которые поинтересуются, как я понимаю, как у вас организовано конфиденциальное делопроизводство) и всё получить.

Вот тут есть обсуждение самого грифа ДСП и его особенностей: Текущий статус грифа "ДСП"