"Клуб любителей КИИ". Получили представление прокурора

4 February 2020
1k full reads
3,5 min.
1,8k story viewsUnique page visitors
1k read the story to the endThat's 59% of the total page views
3,5 minutes — average reading time
Субъектам КИИ-первопроходцам посвящается.
Субъектам КИИ-первопроходцам посвящается.
Субъектам КИИ-первопроходцам посвящается.

Начало - ссылка

Подготовили ответ -ссылка

Повезло субъектам КИИ, которые были в начале пути - ссылка, отделались представлением прокурора по организации комиссии и проведению категорирования.

В этой же заметке попробуем помочь субъекту КИИ, который уже провел категорирование и внес свои значимые объекты КИИ в реестр ФСТЭК.

Стандартный запрос прокуратуры
Стандартный запрос прокуратуры
Стандартный запрос прокуратуры

Субъект КИИ стал одним из пионеров выполнения 187-ФЗ и официально закончил категорирование в первом квартале 2019 года. После чего приступил к постепенному построению системы безопасности ЗОКИИ.

Получив в январе 2020 года запрос прокуратуры, субъект КИИ официально ответил о наличии ЗОКИИ и отсутствии созданной у него СБ ЗОКИИ.

Через сутки получил представление прокурора на устранение нарушений

Как мы видим, прокурор дал очень подробное описание необходимых действий, по сути переписав организационные меры из 235 и 239 приказов ФСТЭК. Это очень хорошо, так как конкретизирует действия субъекта КИИ для отчетности о выполнении представления прокурора.

Важным моментом является указание об обязательном привлечении представителя прокуратуры к рассмотрению представления. Это в помощь субъекту КИИ при ответе на представление.

Субъекту КИИ необходимо в месячный срок решить две проблемы:

1. дисциплинарная ответственность работников;

2. внедрить оргмеры для обеспечения безопасности ЗОКИИ.

У первой задачи два решения: назначить "стрелочника" и приказом объявить выговор, либо обосновать отсутствие виноватых, в силу объективных факторов. Какие мы видим варианты:

  • можно попробовать сослаться на рабочую позицию ФСТЭК, что на создание СБ ЗОКИИ отводится не более трех лет. Но тогда необходимо иметь утвержденный план по созданию СБ ЗОКИИ на конкретный период, с имеющейся отчетной документацию по уже прошедшим этапам плана (отметкам о выполнении). В своем докладе на SOC-форуме 2019, ФСТЭК специально уточняла, что трехлетняя отсрочка касается только внедрения технической части (средств), но не организационной составляющей. Ссылка на видеозапись доклада;
  • реорганизация, оргаштатные изменения субъекта КИИ;
  • Форс-мажор.

Приступаем к решению второй задачи.

1. Приказ о составе и структуре СБ ЗОКИИ

2. Приказ о создании подразделения безопасности, внесении изменений в трудовые договора и должностные инструкции

3. Приказ об утверждении политики обеспечения безопасности ЗОКИИ в организации (описывает цели и задачи, основные угрозы, нарушителя, оценку последствий и т.д.)

4. Утверждаем план мероприятий по обеспечению безопасности, в план включаем раздел по повышению уровня знаний работников и раздел по тренировкам (учениям)

5. Утверждаем регламент реагирования на компьютерные инциденты

6. Утверждаем регламент обучения и информирования работников

7. Утверждаем регламент взаимодействия с НКЦКИ, назначаем ответственного за данное взаимодействие

8. Разрабатываем модель угроз (любую, но с учетом БДУ ФСТЭК).

9. Утверждаем правила действий персонала в нештатной ситуации.

10. Утверждаем "Описание настроек СЗИ", используемых для защиты ЗОКИИ (при наличии)

11. Утверждаем план контрольных мероприятий, назначаем ответственных за их проведение.

12. Утверждаем отчет по анализу уязвимостей ЗОКИИ

13. Утверждаем регламент обновления программного обеспечения ЗОКИИ

14. Утверждаем регламент предоставления доступа к учетным записям ЗОКИИ.

15. Приказ о назначении администраторов СЗИ (при наличии)

16. Утверждаем регламент внесения изменений в ЗОКИИ.

В качестве подсказки можно руководствоваться планом по ссылке.

Не забываем ознакомить всех причастных с документами.

Документов многовато конечно для месячного срока необходимо разработать, но большинство из них типовые (для ИСПДн, ГИС). Если в организации есть человек с опытом работы в "бумажной ИБ", то вполне реально уложится.

Выполнить 239 приказ (спроектировать, закупить, установить, настроить и принять подсистему безопасности ЗОКИИ) за месяц не реально, но в план мероприятий необходимо включить.

P.S. как резервный вариант, при согласии представителя прокурора на встрече по рассмотрению требований, ограничится планом мероприятий. План мероприятий согласовать в рабочем порядке с территориальным управлением ФСТЭК (через организацию рабочей встречи и с протоколом).

А какие советы вы дадите субъекту КИИ в такой ситуации?

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности"