8122 подписчика
Обзор системы автоматизации документационного обеспечения КИИ-процессов «НОТА КУПОЛ. Документы»
Нелегка участь субъектов критической информационной инфраструктуры (КИИ). Им необходимо строго соблюдать все требования нормативно-правовых актов, включая:
• Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
• Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
• Приказ ФСТЭК России от 22 декабря 2017 г. № 236 (ред. от 21.03.2019) «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
• Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
А также создать комиссию по категорированию, определить перечень значимых систем (ИС, ИТКС, АСУТП) и провести категорирование, внедрить недостающие меры защиты. Затем, что крайне важно, отправить во ФСТЭК России сведения о результатах категорирования своих объектов критической информационной инфраструктуры и следить за актуальностью этих сведений.
Невыполнение этих требований или нарушение сроков подачи документов могут привести к крупным административным штрафам. Любая крупная информационная система постоянно меняется. Все изменения необходимо отслеживать и фиксировать, так как некоторые из них могут привести к изменению категории значимости, перечня угроз или применимых мер защиты. Даже при условии, что процесс отслеживания изменений объектов КИИ налажен, необходимо грамотно и кропотливо менять документацию. Заполнение документов вручную может привести к опечаткам, неправильному указанию данных или пропуску необходимых сведений.
Отсюда рождается потребность автоматизировать оба процесса: и отслеживания изменений объектов КИИ, и формирования документации. Это позволит избежать ошибок и упущений при заполнении документов, значительно упростит и ускорит актуализацию документов.
Первую задачу частично можно выполнять с использованием сканеров уязвимости/средств инвентаризации. При этом нужно дополнительно вручную соотносить изменение параметров технических средств с конкретной информационной системой (и далее с теми объектами КИИ, в которых используется эта система).
Вторую задачу (автоматизацию формирования документации) можно попробовать решить макросами текстовых редакторов. Но поддержка таких самописных решений может быть трудозатратной. К тому же нужно будет самостоятельно следить за изменениями законодательства, чтобы вовремя поменять шаблоны и макросы.
Поэтому на рынке ИБ должны были появиться и появились корпоративные решения, закрывающие потребности в автоматизации compliance субъектов КИИ. Представитель класса таких решений – «НОТА КУПОЛ. Документы» – рассматривается в этом обзоре.
Реклама. Рекламодатель: ООО “Т1 ИННОВАЦИИ”.
2 минуты
21 декабря 2023