2026 годОтвет: реализация процессов информационной безопасности (далее – ИБ) в соответствии со стандартом
ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (далее – ГОСТ ИСО 27001) не является достаточным основанием для признания требований по обеспечению безопасности значимых объектов КИИ выполненными. ГОСТ ИСО 27001 регламентирует организацию системы управления ИБ (далее – СУИБ) и предлагает состав базовых контролей (мер) ИБ для покрытия рисков ИБ, актуальных для разного типа активов организации (первичные активы – информация и бизнес процессы; вторичные активы – информационные системы, средства вычислительной техники, их компоненты и т. п.).
Обязанности субъекта КИИ, установленные п. 1 ч. 3 ст. 9
Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), предписывают соблюдение требований по обеспечению безопасности значимых объектов КИИ, установленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ – ФСТЭК России. К ним относятся в первую очередь
Требования к созданию систем безопасности значимых объектов КИИ, утвержденные приказом ФСТЭК России от 21.12.2017 № 235 (далее – приказ ФСТЭК России № 235), и
Требования по обеспечению безопасности значимых объектов КИИ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ).
Приказ ФСТЭК России № 235 устанавливает требования к системе обеспечения ИБ объектов КИИ (далее – СОИБ), являющейся аналогом СУИБ по ГОСТ ИСО 27001. Требования к СОИБ в соответствии с приказом ФСТЭК России № 235 могут встраиваться в СУИБ путем адаптации и дополнения содержания процессов ИБ СУИБ.
Требования к СБ определяют создание подсистем безопасности для конкретных значимых объектов КИИ. При этом Требования к СБ также определяют состав контролей (мер) в рамках процедуры адаптации и дополнения базового состава мер и применительно к конкретным значимым объектам КИИ.
При этом складывается практика создания СОИБ и подсистем безопасности в рамках единого технического задания, с распространением требований на совокупность значимых объектов КИИ субъекта КИИ. В рамках такого подхода допускается создавать интегрированную СУИБ, включающую:
- процессы управления ИБ с учётом требований приказа ФСТЭК России № 235;
- объекты управления (подсистемы безопасности значимых объектов КИИ) с реализованным набором мер в соответствии с Требованиями к СБ;
- управление рисками по методологии ГОСТ ИСО 27001 и контроли (меры) для обработки рисков, включающие итоговый набор мер для подсистем безопасности значимых объектов КИИ.
Таким образом, процессы ИБ, реализованные в организации по ГОСТ ИСО 27001, требуют адаптации и дополнения с учётом нормативных требований. Такая адаптация может проводиться на стадии технического задания при создании СОИБ значимых объектов КИИ и их подсистем безопасности.