Обеспечение безопасности объектов КИИ

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее – КИИ) в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак.

Закон распространяется на субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальных предпринимателей, которым по праву собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, атомной энергии, оборонной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности, химической промышленности.

В соответствии с Законом безопасность КИИ обеспечивается за счет:

• категорирования объектов КИИ в соответствии с установленными Правительством РФ показателями критериев значимости объектов КИИ и их значений;
• ведения реестров объектов КИИ с учетом их категории опасности;
• установления требований к системам безопасности объектов КИИ с учетом их категории опасности;
• обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• осуществления анализа защищенности КИИ и ее объектов;
• осуществления государственного контроля в области безопасности КИИ.

Для приведения в соответствие требованиям 187-ФЗ субъектам КИИ необходимо провести мероприятия по категорированию объектов КИИ, а также разработать и внедрить Систему обеспечения безопасности объектов Ключевой информационной инфраструктуры (СОБ ОКИИ), которая представляет собой комплекс программно-технических средств, а также организационно-технических мероприятий, направленных на предотвращение, ликвидацию угроз или на минимизацию ущерба от реализации угроз безопасности в отношении объектов КИИ.

В состав СОБ ОКИИ входят следующие основные программно-технические подсистемы:

• Подсистема управления доступом

• Подсистема регистрации и учета

• Подсистема обеспечения целостности

• Подсистема антивирусной защиты

• Подсистема анализа защищенности

• Подсистема обнаружения вторжений

• Подсистема межсетевого экранирования

Управление СОБ ОКИИ осуществляется путем документирования и реализации следующих основных процессов:

• Планирование СОБ ОКИИ

• Реагирование на инциденты (нарушения) безопасности информации в объекте КИИ

• Оценка рисков реализации угроз деструктивных информационных воздействий на объект КИИ

• Защита носителей информации

• Обеспечение целостности программно-аппаратной среды объекта КИИ

• Физическая защита объекта КИИ и среды ее функционирования

• Управление персоналом объекта КИИ

• Информирование и обучение персонала по вопросам СОБ ОКИИ

• Защита коммуникаций

• Аудит безопасности информации

Разработка СОБ ОКИИ осуществляется в соответствии с требованиями действующего законодательства, ГОСТов и нормативной базы РФ в области защиты информации.

Этапы разработки СОБ ОКИИ включают в себя следующее:

1. Предпроектный этап

2. Проектирование СОБ ОКИИ

3. Разработка организационно-распорядительных документов по СОБИ ОКИИ

4. Ввод в действие

Предпроектный этап, включает в себя предпроектное обследование объекта КИИ (или территории, помещений организации, где предполагается развернуть объект КИИ), разработку аналитического обоснования необходимости создания СОБ ОКИИ и ТЗ (ЧТЗ) на ее создание.

На предпроектном этапе:

• определяются конфигурация и топология объекта КИИ, используемых систем связи и их отдельных компонентов, функциональные и технологические связи как внутри  объекта КИИ, так и с другими системами различного уровня и назначения;

• определяется состав и содержание критически важной информации применительно к данному объекту КИИ;

• определяются аппаратные и программные средства объекта КИИ, используемые для обработки, хранения, передачи и приема критически важной информации и режимы ее обработки;

• определяется степень участия должностных лиц организации в обработке (обсуждении, передаче, хранении) критически важной информации, характер их взаимодействия между собой и со службой безопасности;

• определяются (уточняются) угрозы безопасности информации, связанные с НСД к защищаемой критически важной информации и несанкционированными воздействиями на нее, формируется модель вероятного нарушителя применительно к конкретным условиям функционирования  объекта КИИ;

• определяются мероприятия по обеспечению конфиденциальности критически важной информации об объекте КИИ на этапе проектирования и создания СОБ ОКИИ.

По результатам предпроектного обследования объекта КИИ составляется аналитическое обоснование необходимости создания СОБ ОКИИ, которое содержит:

• информационную характеристику и организационную структуру объекта КИИ;

• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы объекта КИИ, процесса обработки информации;

• описание возможных каналов деструктивных информационных воздействий на объект КИИ, каналов утечки (разглашения) критически важной информации об объекте КИИ и характеристику мероприятий по их устранению и ограничению;

• перечень предлагаемых к использованию сертифицированных СЗИ;

• обоснование необходимости привлечения для создания СОБ ОКИИ специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СОБ ОКИИ;

• ориентировочные сроки разработки и внедрения СОБ ОКИИ;

• перечень мероприятий по обеспечению конфиденциальности критически важной информации об объекте КИИ на этапе проектирования и создания СОБ ОКИИ.

По результатам предпроектного обследования составляется ТЗ на разработку СОБ ОКИИ в соответствии с ГОСТом Р 51583-2000 «Защита информации. Порядок создания автоматизированной системы в защищенном исполнении. Общие требования» и ГОСТом 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированную систему. Техническое задание на создание автоматизированной системы».

Техническое задание на разработку СОБ ОКИИ содержит:

• обоснование разработки СОБ ОКИИ;

• исходные данные об объекте КИИ в техническом, программном, информационном и организационных аспектах;

• уровень значимости объекте КИИ;

• требования по обеспечению безопасности, предъявляемые к объекту КИИ;

• перечень предполагаемых к использованию сертифицированных СЗИ;

• обоснование проведения разработок собственных СЗИ, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СЗИ;

• состав, содержание и сроки проведения работ по этапам разработки и внедрения СОБ ОКИИ;

• перечень подрядных организаций — исполнителей видов работ;

• перечень предъявляемой заказчику научно-технической продукции и документации.

На этапе проектирования осуществляется разработка проектных решений по СОБ ОКИИ и её частям, на основе которых создаются следующие основные проектные документы:

• технический (технорабочий) проект СОБ ОКИИ в соответствии с ГОСТом 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированную систему. Виды, комплектность и обозначение документов при создании автоматизированной системы»;

• Эксплуатационная документация, включающая в себя технический паспорт на СОБ ОКИИ, а также инструкции и руководства по эксплуатации технических и программных средств СОБ ОКИИ для пользователей, администраторов системы и сотрудников службы безопасности.

На следующем этапе осуществляется разработка комплекса внутренних организационно-распорядительных документов по СОБ ОКИИ, включающего в себя следующее:

• Положение об обеспечении безопасности объекта КИИ

• План обеспечения безопасности объекта КИИ

• Правила поведения сотрудников в отношении СОБ ОКИИ

• План действий в непредвиденных ситуациях

• Положение об управлении инцидентами и процедуры реагирования на инциденты

• Положение об управлении информационными рисками

• Методика оценки информационных рисков

• Положение о защите носителей информации

• Положение об обеспечении целостности программно-аппаратной среды объекта КИИ

• Положение о физической защите объекта КИИ и среды ее функционирования

• Положение об управлении персоналом объекта КИИ

• Положение об информировании и обучении персонала по вопросам ОБИ КИИ

• Положение о защите коммуникаций

• Положение по аудиту безопасности информации

На этапе ввода СОБ ОКИИ в действие осуществляется выполнение мероприятий по ОБИ, предусмотренных техническим проектом:

• поставка оборудования и программного обеспечения СОБ ОКИИ согласно закупочной спецификации;

• специальная проверка несертифицированных СОИ и СЗИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации («закладок»), а также специальные исследования этих средств;

• монтаж оборудования;

• установка и настройка ПО в соответствии с проектными решениями;

• предварительные испытания и ввод СОБ ОКИИ в опытную эксплуатацию;

• опытная эксплуатация СОБ ОКИИ в целях проверки ее работоспособности и отработки технологического процесса обработки (передачи) информации. При необходимости, по результатам опытной эксплуатации СОБ ОКИИ осуществляется ее доработка;

• приемо-сдаточные испытания СОБ ОКИИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

• аттестация объекта КИИ по требованиям безопасности информации.

Для получения более подробной информации обращайтесь к нам:

• по телефону: +7 (925) 203-95-11
• по e-mail: info@globaltrust.ru
• через web-форму