Коллеги!

Нужен совет.

1. Мы вуз, в уставе которого множество оквэдов и одной из основных - это наука.
В вспомогательных оквэдах есть:
- предоставление услуг электросвязи
- услуг связи по предоставлению каналов связи
-...
- работа с ядерными материалами, радиоактивными изотопами...
Оквэды есть, а вот деятельность по ним не ведётся.

2. Провели анализ ИС и ресурсов, используемых вузом в заветных сферах и выявили:
- лвс
- арм, на которых ведутся научн исследования
- сервис электронной почты
- бух и фин ИСПДн
...
- асутп электроснабжения
- асутп водоснабжения
- асутп газоснабжения
- асутп теплоснабжения

3. Сформировали перечень процессов в рамках осуществления деятельности субъекта КИИ.

4. Определили критичность процессов.

Вышло, что критичных процессов в сфере науки не выявили, однако критические процессы у нас в асутп:
электроснабжение;
теплоснабжение;
водоснабжение;
газоснабжение.

По факту - это подстанции, котельные, в которых асутп это только системы мониторинга. Компьютерные атаки на систему мониторинга не окажут влияние на работоспособность объекта, т.к. перекрыть вентиль можно только физическим воздействием на него человека.


Стоит ли относит эти асутп в объектам кии, подлежащим категорированию, если по факту эти асутп осуществляют мониторинг?

Если да, то мы направляем во фстэк перечень объектов, подлежащих категорированию.
После мы категориру ем и приходим к выводу что они не имеют категорию.

Есть у кого такая практика?

Категорируйте и пишите, что отсутствует необходимость присвоения категории значимости .

по факту на каждую систему АСУ надо будет писать лист категорироания

Эти асу снабжают население или сам вуз? Риски для жизни и здоровья в рамках процессов снабжения имеются?

Снабжают, например, общежития и корпуса университета.

Если общежитие - то процессы критические и данные АСУ будут являться ОКИИ, подлежащими категорированию. А категория будет зависеть от числа проживающих в общежитии, которое снабжают эти объекты.

Вам поможет внимательное чтение п. 3 ПП-127.
Т.е. надо понять, обеспечивают ли эти АСУ виды деятельности вашего ВУЗа в областях, определенных в 187-ФЗ.

Есть ли какой-либо приказ, по которому нужно делать модель угроз строго определенным образом? Или можно при категорировании ограничиться списком актуальных/неактуальных угроз(с обоснованием неактуальности)

Информационное сообщение ФСТЭК России от 4 мая 2018 г. N 240/22/2339 - ФСТЭК России
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/1609-informatsionnoe-soobshchenie-fstek-rossii-ot-4-maya-2018-g-n-240-22-2339

Вот есть разъяснение. Документы по КСИИ можно использовать. Собственно и методику для пдн тоже можно.

По КСИИ половина документов грифованые были... Так просто использовать не выйдет...

Тут про значимые объекты. И "могут применяться", а не обязательно.

На безрыбье...

Ни КСИИ, ни ПДн не учитывают БДУ

в соотвествии с 239 приказом ФСТЭК России в качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, которую ведет ФСТЭК России, а также источники, содержащие иные сведения об уязвимостях и угрозах безопасности информации.

Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта.

Описание каждой угрозы безопасности информации должно включать:

а) источник угрозы безопасности информации;

б) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;

в) возможные способы (сценарии) реализации угрозы безопасности информации;

г) возможные последствия от реализации (возникновения) угрозы безопасности информации.

Для разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России.

То есть в сухом остатке, в МУ угроз необходимо включать только актуальные угрозы, в качестве исходных данных использовать БДУ ФСТЭК

Я так понял, что вопрос о необходимости модели угроз был задан в контексте ее составления при категориовании.
Соотвественно, после категориования да, необходимо руководствоваться вышеуказанными постулатами 239 ПФ, но когда проводится категориование, то нет вообще требования составлять именно модель угроз.

при проведении категорирования Субъект КИИ помимо всего прочего  рассматривает возможные действия нарушителей, анализирует угрозы БИ, которые могут привести к возникновению КИ. Затем включает сведения об угрозах и категориях нарушителей в "Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий". Чтобы два раза не подходить к снаряду, я бы рекомендовал сразу делать МУ.

Не факт, что к снаряду придётся подходить дважды.
Формально не требуется, но не возбраняется. Лично я это поделывал через МУ.

И пояснять 200+ угроз по каждому критическому процессу его владельцу при категорировании?

только те, которые могут привести к возникновению КИ