Обоснование требований к системе защиты значимого объекта критической информационной инфраструктуры
« Предыдущая Следующая »

2.2 Требования к системам безопасности значимых объектов КИИ

Регулируются Приказом ФСТЭК от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Приказ принят, проходит регистрацию в Минюсте РФ.

Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов.

Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов.

Задачи, выполняемые системой безопасности:

  1. предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами;
  2. предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
  3. восстановление функционирования объектов, если они вышли из строя;
  4. непрерывное взаимодействие с ГОССОПКА.

В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы.

Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно:

  1. руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности;
  2. уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование;
  3. в зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ.

К ответственным относятся:

  1. работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации;
  2. работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности;
  3. данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам.
  4. подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта.

Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гос. тайну), либо по технической защите конфиденциальной информации.

К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта.

Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна.

В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах

Нормативно-организационные документы разделяются на три категории:

  • общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности);
  • документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций;
  • документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.).

Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.

Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.

2.3 Требования к функционированию системы безопасности значимых объектов КИИ

Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA:

  1. Планирование и разработка мероприятий.

В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ.

  1. Реализация (внедрение) мероприятий.

В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта.

Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана.

  1. Контроль состояния безопасности объектов.

Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности.

Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений.

Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации.

  1. Совершенствование безопасности объектов.

Осуществляется в 3 этапа подразделением по безопасности.

  • проводится анализ функционирования системы безопасности и состояние безопасности объектов;
  • по результатам осуществляется разработка предложений по развитию системы безопасности;
  • рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий;
  • требования по обеспечению безопасности значимых объектов КИИ.

Регулируются Приказом ФСТЭК от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности.

Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации.

Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов:

Шаг 1. Формирование перечня применимых требований.

Включает в себя категорирование объекта КИИ (в соответствии с постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.

Шаг 2. Разработка организационных и технических мер.

Включает в себя:

  • моделирование угроз (по требованиям ФСТЭК);
  • проектирование системы безопасности;
  • разработка эксплуатационной документации.

Шаг 3. Внедрение организационных и технических мер по обеспечению безопасности.

Включает в себя:

  • установка и настройка средств защиты;
  • разработка документов по безопасности объекта;
  • предварительные испытания;
  • опытная эксплуатация;
  • выявление уязвимостей;.
  • приемочные испытания (для ГИС проводится аттестация)

Шаг 4. Обеспечение безопасности во время эксплуатации.

Шаг 5. Обеспечение безопасности при выводе из эксплуатации.

Состав мер по обеспечению безопасности для значимого объекта приводится в приложении к Приказу. Часть мер, вошедших в документ, уже содержатся в Приказе ФСТЭК №17, но также появились новые меры, которые затронули следующие области:

  • аудит безопасности;
  • реагирование на инциденты ИБ;
  • управление конфигурацией;
  • управление обновлениями ПО;
  • планирование мероприятий по обеспечению безопасности;
  • обеспечение действий в нештатных (непредвиденных) ситуациях;
  • информирование и обучение персонала.

Помимо этих мероприятий необходимо учитывать следующие ограничения:

  1. не допускается наличие прямого удаленного доступа к значимому объекту;
  2. не допускается передача информации, в т.ч. технологической, разработчику/производителю значимого объекта без ведома субъекта КИИ.

При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта.

При выборе мер следует учитывать возможные угрозы, связанные с соответствующим категории объекта уровнем потенциалом источника, а также соотношение категории значимости и требуемого класса СЗИ.

Таблица 1- Категории объекта КИИ

Категория объекта КИИ Потенциал источника угроз, который следует рассматривать при выборе мер Требуемый класс СЗИ
1 категория Высокий Не ниже

4 класса
2 категория Базовый усиленный Не ниже

5 класса
3 категория Базовый Не ниже

6 класса

Последовательность действий, которые должны быть выполнены потенциальным субъектом КИИ:

  1. Аудит, категорирование и формирование требований.

В соответствии с Правилами категорирования провести инвентаризацию, обследование и определение категорий значимости принадлежащих ему объектов КИИ. В зависимости от присвоенной категории значимости на основании Требований по безопасности КИИ спроектировать систему защиты и определить состав средств для ее реализации.

Внедрить систему защиты и впоследствии осуществлять ее эксплуатацию в соответствии с Приказом № 235. Проведение аудита, моделирование угроз, формирование требований к мерам защиты значимых объектов критической информационной инфраструктуры. Анализ процессов, обеспечивающих основные виды деятельности предприятия.

Формирование перечня информационных систем, обеспечивающих непрерывное функционирование критических для предприятия процессов (данные информационные системы, согласно определению из 187-ФЗ, будут являться объектами критической информационной инфраструктуры).

Определение категории значимости объектов КИИ согласно постановлению Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (данные работы должны быть выполнены в течение одного года после формирования и утверждения перечня объектов КИИ).

Анализ существующих мер защиты значимых объектов КИИ, анализ рисков возникновения инцидентов информационной безопасности и разработать модель угроз и нарушителя.

Формирование требований к мерам защиты и работам по их реализации с учетом приказа ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и Приказа ФСТЭК от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

  1. Эскизное и комплексное проектирование мер защиты.

Проектирование и внедрение средств защиты КИИ и технологических сегментов, включая выполнение строительно-монтажных работ:

  • проектирование технических мер защиты;
  • разработка организационно-распорядительной документации;
  • разработка эксплуатационной документации;
  • внедрение средств защиты;
  • строительно-монтажные работы;
  • пуско-наладочные работы.
  • испытания (включая опытную эксплуатацию).

Поддержка и развитие системы защиты КИИ.

Входит:

  • сопровождение средств защиты и развитие системы;
  • периодический анализ рисков и корректировка политик безопасности;
  • адаптация в случаях изменений в нормативных документах.

Таким образом, объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости (самая высокая категория — первая, самая низкая — третья).

« Предыдущая Следующая »
Похожие публикации
Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»
Курсовая работа по теме "Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»".
Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации
Курсовая работа по теме "Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации" по предмету "Прикладная информатика".