Защита критической информационной инфраструктуры (КИИ)
Критическая информационная инфраструктура (КИИ) – совокупность автоматизированных систем правления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
В соответствии с Федеральным законом от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации, следующие организации являются субъектами КИИ
Субъекту КИИ необходимо выполнить следующие требования ФЗ № 187
- Сформировать комиссию по категорированию объектов КИИ;
- Сформировать перечень объектов КИИ;
- Направить перечень объектов КИИ во ФСТЭК;
- Провести работы по категорированию объектов КИИ;
- Провести экспертно - документальный аудит защищенности объекта КИИ:
- Инвентаризация процессов в рамках осуществления деятельности;
- Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);
- Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
- Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.
- Провести инструментальный анализ защищенности:
- Определение активных служб/приложений на сканируемых ресурсах Заказчика;
- Определение пути прохождения трафика и структуры сети;
- Идентификация устройств, определение используемых операционных систем;
- Применение техник обхода межсетевых экранов;
- Поиск уязвимостей в конфигурациях коммутационного оборудования.
- Определить актуальные угрозы безопасности информации с разработкой моделей угроз безопасности информации:
- Оценка возможностей внешних и внутренних нарушителей;
- Анализ возможных уязвимостей и реализованных мер защиты;
- Анализ возможных способов реализации угроз безопасности информации;
- Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.
- Провести на основе полученных данных категорирование объектов КИИ:
- Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
- Подготовка акта категорирования;
- Подготовка формы направления сведений об объектах КИИ;
- Направление формы направления сведений об объектах КИИ во ФСТЭК.
- Провести экспертно - документальный аудит защищенности объекта КИИ:
- Провести оценку соответствия мер по обеспечению ИБ объектов КИИ требованиям нормативно-методических и правовых документов:
- Анализ используемых средств защиты;
- Формирование адаптированного базового набора мер, на основании актуальных угроз;
- Обоснование необходимости создания или модернизации существующей системы защиты.
- Проектирование и внедрение системы защиты:
- Разработка технического задания;
- Разработка документации технического проекта;
- Стендовые испытания и пилотирование;
- Внедрение средств защиты, их настройка и интеграция.
- Разработка и внедрение единых требований к обеспечению безопасности:
- Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
- Внедрение организационных мер по обеспечению безопасности.
- Опытная эксплуатация системы защиты:
- Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.
- Приемочные испытания:
- Инструментальный анализ, включая тесты на проникновение;
- Выявление уязвимостей значимого объекта и принятие мер по их устранению.
- Обеспечение безопасности значимого объекта в ходе его эксплуатации:
- Планирование мероприятий по обеспечению безопасности значимого объекта;
- Периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;
- Управление (администрирование) подсистемой безопасности значимого объекта;
- Управление конфигурацией значимого объекта и его подсистемой безопасности;
- Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
- Обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;
- Информирование и обучение персонала значимого объекта;
- Контроль за обеспечением уровня безопасности значимого объекта.
Категорирование объектов КИИ
- Начальный экспертно - документальный аудит защищенности объекта КИИ:
- Инвентаризация процессов в рамках осуществления деятельности;
- Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);
- Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
- Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.
- Технический инструментальный анализ защищенности:
- Определение активных служб/приложений на сканируемых ресурсах Заказчика;
- Определение пути прохождения трафика и структуры сети;
- Идентификация устройств, определение используемых операционных систем;
- Применение техник обхода межсетевых экранов;
- Поиск уязвимостей в конфигурациях коммутационного оборудования.
- Разработка моделей угроз безопасности информации:
- Оценка возможностей внешних и внутренних нарушителей;
- Анализ возможных уязвимостей и реализованных мер защиты;
- Анализ возможных способов реализации угроз безопасности информации;
- Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.
- Проведение категорирования объектов КИИ:
- Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
- Подготовка акта категорирования;
- Подготовка формы направления сведений об объектах КИИ;
- Направление формы направления сведений об объектах КИИ во ФСТЭК.
Проектирование и внедрение систем защиты объектов КИИ
- Проектирование и внедрение системы защиты:
- Разработка технического задания;
- Разработка документации технического проекта;
- Стендовые испытания и пилотирование;
- Внедрение средств защиты, их настройка и интеграция.
- Разработка и внедрение единых требований к обеспечению безопасности:
- Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
- Внедрение организационных мер по обеспечению безопасности.
- Опытная эксплуатация системы защиты:
- Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.
- Приемочные испытания:
- Инструментальный анализ, включая тесты на проникновение;
- Выявление уязвимостей значимого объекта и принятие мер по их устранению.
Ответственность
Нарушение правил эксплуатации и причинение вреда КИИ - до 6 лет лишения свободы.
Нарушение правил эксплуатации и причинение вреда КИИ с тяжкими последствиями - до 10 лет лишения свободы.
Основные законодательные документы в области защиты КИИ
- Федеральный закон от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации;
- Федеральный закон от 26.07.2017 г. №193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «о безопасности критической информационной инфраструктуры Российской Федерации;
- Федеральный закон от 26.07.2017 г. №194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации;
- Указ Президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
- Указ Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. №1085;
- Указ Президента РФ от 22.12.2017 г.-№-620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
- Указ Президента РФ от 12.12.2014 г. № К 1274 «О Концепции ГосСОПКА;
- Указ Президента РФ от 02.03.2018 г. N 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203;
- Постановление Правительства РФ от 08.02.2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений;
- Постановление Правительства РФ от 17.02.2018 г. №162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
- Постановление Правительства РФ от 11.07.2018 г. №808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса;
- Приказ ФСТЭК России от 06.12.2017 г. №227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации;
- Приказ ФСТЭК России от 11.12.2017 г. №229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
- Приказ ФСТЭК России от 21.12.2017 г. №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования;
- Приказ ФСТЭК России от 22.12.2017 г. №236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
- Приказ ФСТЭК России от 25.12.2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
- Приказ ФСТЭК России от 26.04.2018 г. №72 «О внесении изменений в Регламент ФСТЭК;
- Приказ ФСТЭК России от 09.08.2018 г. №138 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239;
- Информационное сообщение ФСТЭК России от 25.07.2014 г. № 240-22-2748 «По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
- Информационное сообщение ФСТЭК России от 04.05.2018 г. №240-22-2339 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ;
- Информационное сообщение ФСТЭК России от 24.08.2018 г. №240-25-3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
- Приказ ФСБ России от 24.07.2018 г. №366 «О Национальном координационном центре по компьютерным инцидентам;
- Приказ ФСБ России от 24.07.2018 г. №367 «Об утверждении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы российской федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
- Приказ ФСБ России от 24.07.2018 г. №368 «Об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры российской федерации, между субъектами критической информационной инфраструктуры российской федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и порядка получения субъектами критической информационной инфраструктуры российской федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
- Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.;
- Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.
Заявка успешно отправленна
Мы свяжемся с Вами в ближайшее время