Обеспечение безопасности объектов КИИ
С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее – КИИ) в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак.
Закон распространяется на субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальных предпринимателей, которым по праву собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, атомной энергии, оборонной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности, химической промышленности.
В соответствии с Законом безопасность КИИ обеспечивается за счет:
- категорирования объектов КИИ в соответствии с установленными Правительством РФ показателями критериев значимости объектов КИИ и их значений;
- ведения реестров объектов КИИ с учетом их категории опасности;
- установления требований к системам безопасности объектов КИИ с учетом их категории опасности;
- обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- осуществления анализа защищенности КИИ и ее объектов;
- осуществления государственного контроля в области безопасности КИИ.
Для приведения в соответствие требованиям 187-ФЗ субъектам КИИ необходимо провести мероприятия по категорированию объектов КИИ, а также разработать и внедрить Систему обеспечения безопасности объектов Ключевой информационной инфраструктуры (СОБ ОКИИ), которая представляет собой комплекс программно-технических средств, а также организационно-технических мероприятий, направленных на предотвращение, ликвидацию угроз или на минимизацию ущерба от реализации угроз безопасности в отношении объектов КИИ.
В состав СОБ ОКИИ входят следующие основные программно-технические подсистемы:
-
Подсистема управления доступом
-
Подсистема регистрации и учета
-
Подсистема обеспечения целостности
-
Подсистема антивирусной защиты
-
Подсистема анализа защищенности
-
Подсистема обнаружения вторжений
-
Подсистема межсетевого экранирования
Управление СОБ ОКИИ осуществляется путем документирования и реализации следующих основных процессов:
-
Планирование СОБ ОКИИ
-
Реагирование на инциденты (нарушения) безопасности информации в объекте КИИ
-
Оценка рисков реализации угроз деструктивных информационных воздействий на объект КИИ
-
Защита носителей информации
-
Обеспечение целостности программно-аппаратной среды объекта КИИ
-
Физическая защита объекта КИИ и среды ее функционирования
-
Управление персоналом объекта КИИ
-
Информирование и обучение персонала по вопросам СОБ ОКИИ
-
Защита коммуникаций
-
Аудит безопасности информации
Разработка СОБ ОКИИ осуществляется в соответствии с требованиями действующего законодательства, ГОСТов и нормативной базы РФ в области защиты информации.
Этапы разработки СОБ ОКИИ включают в себя следующее:
-
Предпроектный этап
-
Проектирование СОБ ОКИИ
-
Разработка организационно-распорядительных документов по СОБИ ОКИИ
-
Ввод в действие
Предпроектный этап, включает в себя предпроектное обследование объекта КИИ (или территории, помещений организации, где предполагается развернуть объект КИИ), разработку аналитического обоснования необходимости создания СОБ ОКИИ и ТЗ (ЧТЗ) на ее создание.
На предпроектном этапе:
-
определяются конфигурация и топология объекта КИИ, используемых систем связи и их отдельных компонентов, функциональные и технологические связи как внутри объекта КИИ, так и с другими системами различного уровня и назначения;
-
определяется состав и содержание критически важной информации применительно к данному объекту КИИ;
-
определяются аппаратные и программные средства объекта КИИ, используемые для обработки, хранения, передачи и приема критически важной информации и режимы ее обработки;
-
определяется степень участия должностных лиц организации в обработке (обсуждении, передаче, хранении) критически важной информации, характер их взаимодействия между собой и со службой безопасности;
-
определяются (уточняются) угрозы безопасности информации, связанные с НСД к защищаемой критически важной информации и несанкционированными воздействиями на нее, формируется модель вероятного нарушителя применительно к конкретным условиям функционирования объекта КИИ;
-
определяются мероприятия по обеспечению конфиденциальности критически важной информации об объекте КИИ на этапе проектирования и создания СОБ ОКИИ.
По результатам предпроектного обследования объекта КИИ составляется аналитическое обоснование необходимости создания СОБ ОКИИ, которое содержит:
-
информационную характеристику и организационную структуру объекта КИИ;
-
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы объекта КИИ, процесса обработки информации;
-
описание возможных каналов деструктивных информационных воздействий на объект КИИ, каналов утечки (разглашения) критически важной информации об объекте КИИ и характеристику мероприятий по их устранению и ограничению;
-
перечень предлагаемых к использованию сертифицированных СЗИ;
-
обоснование необходимости привлечения для создания СОБ ОКИИ специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
-
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СОБ ОКИИ;
-
ориентировочные сроки разработки и внедрения СОБ ОКИИ;
-
перечень мероприятий по обеспечению конфиденциальности критически важной информации об объекте КИИ на этапе проектирования и создания СОБ ОКИИ.
По результатам предпроектного обследования составляется ТЗ на разработку СОБ ОКИИ в соответствии с ГОСТом Р 51583-2000 «Защита информации. Порядок создания автоматизированной системы в защищенном исполнении. Общие требования» и ГОСТом 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированную систему. Техническое задание на создание автоматизированной системы».
Техническое задание на разработку СОБ ОКИИ содержит:
-
обоснование разработки СОБ ОКИИ;
-
исходные данные об объекте КИИ в техническом, программном, информационном и организационных аспектах;
-
уровень значимости объекте КИИ;
-
требования по обеспечению безопасности, предъявляемые к объекту КИИ;
-
перечень предполагаемых к использованию сертифицированных СЗИ;
-
обоснование проведения разработок собственных СЗИ, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СЗИ;
-
состав, содержание и сроки проведения работ по этапам разработки и внедрения СОБ ОКИИ;
-
перечень подрядных организаций — исполнителей видов работ;
-
перечень предъявляемой заказчику научно-технической продукции и документации.
На этапе проектирования осуществляется разработка проектных решений по СОБ ОКИИ и её частям, на основе которых создаются следующие основные проектные документы:
-
технический (технорабочий) проект СОБ ОКИИ в соответствии с ГОСТом 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированную систему. Виды, комплектность и обозначение документов при создании автоматизированной системы»;
-
Эксплуатационная документация, включающая в себя технический паспорт на СОБ ОКИИ, а также инструкции и руководства по эксплуатации технических и программных средств СОБ ОКИИ для пользователей, администраторов системы и сотрудников службы безопасности.
На следующем этапе осуществляется разработка комплекса внутренних организационно-распорядительных документов по СОБ ОКИИ, включающего в себя следующее:
-
Положение об обеспечении безопасности объекта КИИ
-
План обеспечения безопасности объекта КИИ
-
Правила поведения сотрудников в отношении СОБ ОКИИ
-
План действий в непредвиденных ситуациях
-
Положение об управлении инцидентами и процедуры реагирования на инциденты
-
Положение об управлении информационными рисками
-
Методика оценки информационных рисков
-
Положение о защите носителей информации
-
Положение об обеспечении целостности программно-аппаратной среды объекта КИИ
-
Положение о физической защите объекта КИИ и среды ее функционирования
-
Положение об управлении персоналом объекта КИИ
-
Положение об информировании и обучении персонала по вопросам ОБИ КИИ
-
Положение о защите коммуникаций
-
Положение по аудиту безопасности информации
На этапе ввода СОБ ОКИИ в действие осуществляется выполнение мероприятий по ОБИ, предусмотренных техническим проектом:
-
поставка оборудования и программного обеспечения СОБ ОКИИ согласно закупочной спецификации;
-
специальная проверка несертифицированных СОИ и СЗИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации («закладок»), а также специальные исследования этих средств;
-
монтаж оборудования;
-
установка и настройка ПО в соответствии с проектными решениями;
-
предварительные испытания и ввод СОБ ОКИИ в опытную эксплуатацию;
-
опытная эксплуатация СОБ ОКИИ в целях проверки ее работоспособности и отработки технологического процесса обработки (передачи) информации. При необходимости, по результатам опытной эксплуатации СОБ ОКИИ осуществляется ее доработка;
-
приемо-сдаточные испытания СОБ ОКИИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
-
аттестация объекта КИИ по требованиям безопасности информации.
Для получения более подробной информации обращайтесь к нам:
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму