СБ ЗОКИИ: что нужно учесть при проектировании общей системы безопасности для ИСПДн и ЗОКИИ?

2025 год

Ответ: при проектировании общей системы безопасности для информационной системы персональных данных (далее – ИСПДн, ПДн) и значимого объекта критической информационной инфраструктуры (далее –КИИ) необходимо учитывать следующие моменты:

1. Требования к проектированию системы обеспечения информационной безопасности (далее – СОИБ) определены в Требованиях по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденных приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), но не учтены в Составе и содержании организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, утвержденных приказом ФСТЭК России от 18.02.2013 № 21 (далее – Требования к ИБ ИСПДн). Соответственно, рекомендуется при проектировании и внедрении СОИБ руководствоваться мероприятиями, описанными в Требованиях к СБ (например, проведение предварительных испытаний и иных мероприятий).
2. В соответствии с пунктами 5, 23 и 24 Требований к СБ, при проектировании СОИБ значимого объекта КИИ, в котором обрабатываются ПДн и который, соответственно, является ИСПДн, необходимо учитывать Требования к ИБ ИСПДн и Требования к защите ПДн при их обработке в ИСПДн, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

3. При проектировании СОИБ необходимо определить объекты защиты в рамках границ значимого объекта КИИ и ИСПДн – определить различия между ИСПДн и значимым объектом КИИ как объектами защиты, а также обозначить критерии определения границ.
4. Границы ИСПДн и значимого объекта КИИ необходимо в четком виде зафиксировать в техническом задании, пояснительной записке к техническому проекту на создание СОИБ, технических паспортах на системы и иных документах, разрабатываемых при проектировании и внедрении СОИБ.

Основные проблемы возникают в связи с разными подходами при определении границ ИСПДн и объектов КИИ. Так, для ИСПДн границы формируются в рамках информационных потоков при выполнении одной или нескольких целей обработки ПДн, а для объекта КИИ – ассоциированными с объектом критическими процессами. Например, в контексте законодательства о КИИ допустимо выделение в отдельный объект совокупности общекорпоративных инфраструктурных сервисов сети передачи данных по признаку критического процесса «Управление сервисами информационной инфраструктуры». При этом в контур ИСПДн попадет только отдельный сервис – служба каталогов.