Институт КВОИ в Республике Беларусь начинает свой отсчет с конца 2011 года когда был подписан Указ №486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации». Вплоть до конца 2018 года нормативное поле обеспечения безопасности КВОИ оставалась неизменным, хотя представителями ОАЦ на проводимых конференциях 2017/2018 годах анонсировались изменения в законодательстве о КВОИ.
А теперь позвольте перейти к небольшому анализу нового Приказа ОАЦ.
Я бы предложил рассмотреть данный документ относительно появившихся в нем новшеств по сравнению с нормативными документами, действовавшими до вступления в силу приказа №151.
30 октября 2018 года вступил в силу приказа ОАЦ № 151 «Об утверждении Положения об обеспечении безопасности критически важных объектов информатизации». Данный нормативный документ устанавливает порядок организации мероприятий по обеспечению безопасности КВОИ, включая мероприятия по созданию системы безопасности.
В пункте 2 положения вводятся связанные с КВОИ термины: активы, владелец, информационная безопасность, риск и событие безопасности. Сразу бросаются в глаза такие понятия как риск, событие и угроза. Исходя из этого можно сделать вывод о том, что разработчиками сохранена преемственность с ТКП 483-3013 и для обеспечения безопасности КВОИ будет использоваться рискоориентированный подход.
В пункте 3 сохранена норма о наличии службы безопасности/ уполномоченного работника для выполнения мероприятий по обеспечению безопасности КВОИ. Можно предположить, что наличие подразделения или работника будет зависеть от масштабов организации, в которой находится КВОИ, а также количества таких объектов. Предъявляются хотя бы минимальные требования к компетенциям данных лиц, а это уже не плохо. Однако есть один незаметный на первый взгляд нюанс, пунктом 12 определено, что внутренний контроль должен проводится службой безопасности/уполномоченным работником. Ранее данной нормы не было.
В пункте 7 владельцу КВОИ предлагается пошаговый алгоритм действий по процессу созданию системы безопасности КВОИ, в том числе пункте 6 определено что она должна быть документально оформлена. Регулятор предлагает для оценки рисков использовать стандарт СТБ 34.101.70-2016, который введен в действие 01.04.2017. После беглого просмотра данного стандарта можно отметить, что это некий симбиоз СТБ ISO/IEC 27002 и NIST SP 800-30.
Отдельным плюсом документа является наличие в нем перечней типовых уязвимостей ИС, угроз ИБ, а также каталога вспомогательных активов. Самое интересное, что имеется пример оценки рисков информационной системы (приложение А). Однако этот стандарт касается оценки рисков только для информационных систем. Можно предположить, что в КВОИ имеются АСУ ТП соответственно данный документ необходимо использовать с учетом особенностей эксплуатации АСУ ТП.
Данный документ должен упростить жизнь владельцу КВОИ в процедуре оценки рисков, так как в ранее действующем законодательстве ссылок на документ по оценке рисков не было.
В пункте 8 содержится отсылочная норма на СТБ ISO/IEC 27001-2016, что свидетельствует о сохранении вектора на создание СМИБ.
Еще одним интересным фактором является оценка результатов создания системы безопасности КВОИ (пункт 9), которая представляет собой чек лист по оценке полноты и качества выполненных мероприятий по созданию системы безопасности. То есть владельцу предлагается перечень мероприятий для самоконтроля.
Пункт 10 затрагивает такие мероприятия как мониторинг и реагирование на угрозы безопасности. Из интересного можно выделить необходимость периодичного проведения тренировок по реагированию на угрозы, предоставление сведений о событиях безопасности в ОАЦ. Хотя порядок предоставления таких сведений пока на определен. Ответственность за непредставление кстати тоже.
Заключительные пункты приказа затрагивают процедуру внутреннего контроля. Установлена периодичность, порядок предоставления результатов контроля в ОАЦ, а также случаи в которых контроль проводится дополнительно.
Вывод: проведенный анализ приказа №151 показывает, что в данный момент мы видим промежуточный вариант нормативного акта, который снимает текущие вопросы по созданию системы безопасности КВОИ. Есть надежда, что регулятор идет по пути использования и применения международного опыта в информационной безопасности.