Институт КВОИ в Республике Беларусь начинает свой отсчет с конца 2011 года когда был подписан Указ №486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации». Вплоть до конца 2018 года нормативное поле обеспечения безопасности КВОИ оставалась неизменным, хотя представителями ОАЦ на проводимых конференциях 2017/2018 годах анонсировались изменения в законодательстве о КВОИ. 

А теперь позвольте перейти к небольшому анализу нового Приказа ОАЦ. 

Я бы предложил рассмотреть данный документ относительно появившихся в нем новшеств по сравнению с нормативными документами, действовавшими до вступления в силу приказа №151. 

30 октября 2018 года вступил в силу приказа ОАЦ № 151 «Об утверждении Положения об обеспечении безопасности критически важных объектов информатизации». Данный нормативный документ устанавливает порядок организации мероприятий по обеспечению безопасности КВОИ, включая мероприятия по созданию системы безопасности. 

В пункте 2 положения вводятся связанные с КВОИ термины: активы, владелец, информационная безопасность, риск и событие безопасности. Сразу бросаются в глаза такие понятия как риск, событие и угроза. Исходя из этого можно сделать вывод о том, что разработчиками сохранена преемственность с ТКП 483-3013 и для обеспечения безопасности КВОИ будет использоваться рискоориентированный подход. 

В пункте 3 сохранена норма о наличии службы безопасности/ уполномоченного работника для выполнения мероприятий по обеспечению безопасности КВОИ. Можно предположить, что наличие подразделения или работника будет зависеть от масштабов организации, в которой находится КВОИ, а также количества таких объектов. Предъявляются хотя бы минимальные требования к компетенциям данных лиц, а это уже не плохо. Однако есть один незаметный на первый взгляд нюанс, пунктом 12 определено, что внутренний контроль должен проводится службой безопасности/уполномоченным работником. Ранее данной нормы не было. 

В пункте 7 владельцу КВОИ предлагается пошаговый алгоритм действий по процессу созданию системы безопасности КВОИ, в том числе пункте 6 определено что она должна быть документально оформлена. Регулятор предлагает для оценки рисков использовать стандарт СТБ 34.101.70-2016, который введен в действие 01.04.2017. После беглого просмотра данного стандарта можно отметить, что это некий симбиоз СТБ ISO/IEC 27002 и NIST SP 800-30. 

Отдельным плюсом документа является наличие в нем перечней типовых уязвимостей ИС, угроз ИБ, а также каталога вспомогательных активов. Самое интересное, что имеется пример оценки рисков информационной системы (приложение А). Однако этот стандарт касается оценки рисков только для информационных систем. Можно предположить, что в КВОИ имеются АСУ ТП соответственно данный документ необходимо использовать с учетом особенностей эксплуатации АСУ ТП. 

Данный документ должен упростить жизнь владельцу КВОИ в процедуре оценки рисков, так как в ранее действующем законодательстве ссылок на документ по оценке рисков не было. 

В пункте 8 содержится отсылочная норма на СТБ ISO/IEC 27001-2016, что свидетельствует о сохранении вектора на создание СМИБ. 

Еще одним интересным фактором является оценка результатов создания системы безопасности КВОИ (пункт 9), которая представляет собой чек лист по оценке полноты и качества выполненных мероприятий по созданию системы безопасности. То есть владельцу предлагается перечень мероприятий для самоконтроля. 

Пункт 10 затрагивает такие мероприятия как мониторинг и реагирование на угрозы безопасности. Из интересного можно выделить необходимость периодичного проведения тренировок по реагированию на угрозы, предоставление сведений о событиях безопасности в ОАЦ. Хотя порядок предоставления таких сведений пока на определен. Ответственность за непредставление кстати тоже. 

Заключительные пункты приказа затрагивают процедуру внутреннего контроля. Установлена периодичность, порядок предоставления результатов контроля в ОАЦ, а также случаи в которых контроль проводится дополнительно. 

Вывод: проведенный анализ приказа №151 показывает, что в данный момент мы видим промежуточный вариант нормативного акта, который снимает текущие вопросы по созданию системы безопасности КВОИ. Есть надежда, что регулятор идет по пути использования и применения международного опыта в информационной безопасности.