Стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атаки и реагирование на компьютерные инциденты».
Стандарт дополняет уже существующий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТ и классификационную схему понятий, входящих в область действия стандарта.
Проект предназначен для стандартизации терминологии в указанной области для их дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов. Согласно пояснительной записке к опубликованному проекту, документ необходим для установления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авторами стандарта предполагается, что ввод в действие проекта приведет к повышению эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
Методические рекомендации для категорирования объектов КИИ в сфере здравоохранения
Министерство здравоохранения Российской Федерации разработало и отправило на согласование во ФСТЭК России Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В настоящий момент проект документа опубликован на портале оперативного взаимодействия участников единой государственной информационной системы в сфере здравоохранения для общественных обсуждений.
Рекомендации содержат:
- Подробный перечень организаций сферы здравоохранения, на которые распространяются методические рекомендации:
- органы управления системой здравоохранения;
- лечебные организации;
- медицинские организации особого типа (медицинские центры, воинские формирования, лаборатории и т.д.);
- медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека;
- организации, осуществляющие фармацевтическую деятельность;
- частные организации в сфере здравоохранения.
- Примеры объектов КИИ, на которые распространяются методические рекомендации.
- Рекомендации к формированию комиссии по категорированию (а также к форме приказа о создании комиссии и пример положения о комиссии).
Документ содержит также справочную информацию, в частности:
- справочные материалы по оценке критичности бизнес-процессов (примеры и разъяснения для оценки критичности применимых к сфере здравоохранения показателей и примеры обоснования неприменимости показателей из Правил категорирования для сферы здравоохранения);
- состав возможных событий (инцидентов), которые могут возникнуть в результате реализации компьютерных атак (на основании перечня критериев значимости объектов КИИ);
- варианты обоснования неприменимости критериев значимости, установленных Постановлением Правительства от 08.02.2018 №127;
- справочные материалы по подготовке документов для отправки во ФСТЭК России (содержащие формы писем и документов для отправки регулятору и указания по их заполнению).
В приложениях к методическим рекомендациям разработчики приводят формы промежуточной отчетности, разрабатываемой комиссией по категорированию, а именно:
- форма и пример заполнения реестра бизнес-процессов организации сферы здравоохранения, выделяемых для определения перечня критических процессов;
- форма и пример заполнения Перечня критических процессов;
- реестр систем и информационно-телекоммуникационных сетей, принадлежащих на законном основании организации в сфере здравоохранения;
- форма перечня объектов КИИ, подлежащих категорированию (направляемая во ФСТЭК России);
- форма и пример заполнения протокола расчетов значений критериев значимости объектов КИИ.
Документ содержит описание процессов в рамках категорирования объектов КИИ как в словесной форме, так и в формате наглядных блок-схем.
Кроме описания процесса категорирования Методические рекомендации содержат состав и последовательность работ по обеспечению безопасности значимых объектов КИИ.