Методические рекомендации Минздрава по категорированию объектов КИИ

Дата: 20.08.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Методические рекомендации Минздрава по категорированию объектов КИИ

Несколько дней назад на сайте ДИТ Минздрава России для общественного обсуждения был выложен проект документа Методические рекомендации по категорированию объектовкритической информационной инфраструктуры сферы здравоохранения

Давайте посмотрим на основные тезисы данного документа и отличия от остальных методических документов в сфере КИИ.

·        Явно перечислены виды организаций сферы здравоохранения, на которые распространяются действия МР – органы управления, лечебные организации, мед. организации особого типа, мед. организации по надзору, организации, осуществляющие фармацевтическую деятельность и т.п.

·        Подробные рекомендации по формированию комиссии по категорированию, в том числе форма приказа о создании, положение о комиссии, заключение комиссии.

·        Приведена форма и пример заполнения реестра бизнес-процессов (крайне полезно)

·        Здравые рекомендации по оценке критичности бизнес-процессов (на этом этапе оценивать не количественно, а качественно, такие-то показатели не оценивать, так как они не применимы и т.п.)

·        Приводится форма и пример заполнения итоговой информации о критических процессах и их связи с объектами КИИ

·        Приведены примеры объектов КИИ в соответствии с их типами – ИС или АСУ (а по этому пункту мне часто задают вопросы) Примеров мало, можно было бы сделать максимально исчерпывающий перечень – это облегчило бы работу ответственным лицам

·        Приведено много образцов документов – протоколы, акты, сопроводительные письма, . За это спасибо.

·        А вот алгоритм выбора сценариев реализации компьютерных атак на этапе категорирования представляется чрезмерно сложным – тут предлагается заполнить с десяток различных неочевидных таблиц, причем в явном виде такой вариант делать не требуется. Усложняют жизнь. У меня в блоге ранее был предложен гораздо более простой вариант.

 

Выводы:

·        Рекомендации крайне полезные, так как учитывают специфику сферы здравоохранения и содержат много конкретных примеров которые можно “брать и применять”

·        Можно было бы сделать отдельные примеры перечней бизнес-процессов и перечней объектов КИИ для организаций разных типов (гос. органы, лечебные организации, аптеки и т.п.) Это ещё больше облегчило бы работу для них

·        По категориям нарушителей, основным угрозам и типам компьютерных инцидентов можно было бы сделать готовые примеры перечней для организаций разных типов.   

 

PPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *