контрольных точек ФСТЭК: какие требования обязательны на самом деле

от

«Когда ФСТЭК составил 2576 контрольных точек, многие представители отрасли не до конца понимали, какие из них действительно обязательные, а какие — рекомендательные. Под прицел попали даже те, кто считал себя «во всём разобрался» — отчасти из-за того, что сама формулировка «точка» заставляет думать о простых программных проверках, хотя речь часто идёт о целых процессах, которые нужно выстроить и задокументировать.»

Требования к защите информации в российских госкомпаниях и критически важных организациях регламентируются множеством документов. Среди них особое место занимают акты ФСТЭК России, содержащие так называемые «контрольные точки» — конкретные, проверяемые мероприятия по защите информации. Общее количество таких точек в различных профилях защиты и мероприятиях по обеспечению безопасности исчисляется сотнями и тысячами.

Что такое 2576 контрольных точек?

Это не универсальный «магический список» для всех. Цифра 2576, это ориентир, показывающий общий объём требований, распределённых по различным профилям защиты (ПЗ) и актам ФСТЭК. В первую очередь речь идёт о мероприятиях по обеспечению безопасности (МОБ), описанных в приказах ФСТЭК России, таких как приказ № 17 (системы доступа), № 21 (ИСПДн), № 31 (ГИС), № 239 (КИИ), и о самих ПЗ к средствам вычислительной техники.

Каждый профиль (например, ПЗ №1, ПЗ №4) и каждый тип защищаемой информации (персональные данные, государственная тайна и т.д.) имеет свой собственный набор контрольных точек. Организация обязана выполнить только те из них, которые соответствуют выбранному классу защищённости и профилю защиты её информационной системы. Таким образом, на одну конкретную систему может приходиться от нескольких десятков до нескольких сотен обязательных точек.

Структура требований: от профиля до исполнения

Чтобы понять, какие контрольные точки являются обязательными, нужно двигаться сверху вниз:

  1. Классификация объектов: Определяется, что защищается — информационная система персональных данных (ИСПДн), государственная информационная система (ГИС), объект критической информационной инфраструктуры (КИИ) или СВТ/АС, обрабатывающая гостайну.
  2. Определение класса защищённости / вида угроз: На основе модели угроз и уровня актуальности угроз безопасности присваивается класс (например, для ИСПДн — К1, К2, К3, К4).
  3. Выбор базового набора требований: Классу соответствует конкретный профиль защиты (ПЗ) или базовый набор мероприятий по обеспечению безопасности (МОБ). Например, для ИСПДн 2-го класса (К2) – это базовый набор МОБ из приказа № 21. Для СВТ 1-го класса защищённости – это ПЗ №1.
  4. Конкретизация точек: Внутри профиля или набора МОБ каждый пункт требований (например, «Идентификация и аутентификация», «Регистрация событий безопасности») детализирован контрольными точками. Именно они подлежат проверке при аттестации или аудите.

Какие точки считаются обязательными?

Обязательными являются все контрольные точки, входящие в состав:

  • Базового профиля защиты (ПЗ), определённого для выбранного класса защищённости СВТ/АС.
  • Базового набора мероприятий по обеспечению безопасности (МОБ) для присвоенного класса ИСПДн, вида угроз для ГИС или категории значимости для объекта КИИ.

Важный нюанс: обязательность точек из базового набора не отменяет необходимости проведения дополнительных мероприятий. Если по результатам оценки актуальных угроз выявлены специфические риски, не покрытые базовым набором, организация обязана реализовать дополнительные контрольные точки из других профилей или разработать собственные меры. Игнорирование этого правила — частая причина несоответствий при проверках.

Пример разбора обязательности

Рассмотрим контрольную точку из области журналирования для ИСПДн 2 класса (К2): «Обеспечивается регистрация в журнале регистрации событий безопасности попыток доступа к информационным ресурсам ИСПДн».

Эта точка входит в базовый набор МОБ приказа № 21 для 2 класса. Следовательно, она обязательна. Дополнительно, в базовом наборе могут быть указаны требования к составу регистрируемых событий (например, ввод неправильного пароля, блокировка учётной записи). Если в системе используются ролевые модели доступа, а базовый набор этого не требует, контрольная точка «Регистрация назначения и изменения ролей пользователей» может оказаться необязательной из базового набора, но стать обязательной как дополнительная мера, если анализ рисков покажет, что несанкционированное изменение ролей, это актуальная угроза.

Распространённые ошибки при работе с контрольными точками

  • Механический чек-лист: Подход, при котором администраторы просто ставят галочки напротив пунктов, не вникая в суть. Точка «Проведение обучения» считается выполненной после однократного инструктажа, хотя требуется регулярная программа с оценкой эффективности.
  • Игнорирование дополнительных мер: Уверенность, что выполнение только базового набора гарантирует 100% соответствие. На практике аттестующие органы всегда проверяют обоснованность выбора мер защиты.
  • Подмена средств защиты: Попытка закрыть точку, требующую, например, анализа защищённости (ИБ-аудита), простым сканированием утилитой без формирования профессионального заключения и плана устранения недостатков.
  • Недооценка документации: Многие точки напрямую требуют наличия документов: положений, регламентов, отчётов. Отсутствие такого документа при формально работающем механизме защиты равносильно невыполнению точки.

Как подготовить инфраструктуру к проверке по точкам?

Этот процесс требует системного подхода, а не авральной подготовки за месяц до проверки.

  1. Инвентаризация и классификация: Чётко определите, какие системы подпадают под действие какого регулирования и какой у них класс.
  2. Сопоставление: Для каждой системы создайте матрицу соответствия, где контрольные точки из обязательного набора будут сопоставлены с конкретными техническими параметрами (настройки ОС, СУБД, МЭ), организационными мерами (приказы, инструкции) и документами (отчёты, журналы).
  3. Реализация и настройка: Выполните настройки, разработайте недостающие документы, внедрите процессы (например, регулярный пересмотр прав доступа).
  4. Сбор доказательной базы: По каждой точке подготовьте «доказательство выполнения»: скриншоты конфигураций, распечатки журналов событий (с корректными датами), утверждённые копии документов, отчёты средств защиты.
  5. Внутренний аудит: Проведите проверку по составленным матрицам силами внутренней службы ИБ или привлечённых специалистов до визита аттестующего органа.

Итог

«2576 обязательных контрольных точек», это скорее метафора общего объёма регулирования, а не прямая директива. Обязательность каждой конкретной точки определяется строго её местом в иерархии требований для конкретного объекта защиты. Успешное прохождение проверки зависит не от количества проставленных галочек, а от способности организации выстроить целостную, документированную и обоснованную систему защиты, где каждая контрольная точка подтверждает работоспособность конкретного элемента этой системы.

Оставьте комментарий