Окии что это расшифровка
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Руслан Рахметов, Security Vision
В данной статье мы рассмотрим аспекты проведения категорирования объектов критической информационной инфраструктуры (далее ОКИИ) на основании Постановления Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Осуществление процедуры категорирования обязательно для всех организаций, которые являются субъектом критической информационной инфраструктуры (далее субъект КИИ). Напомним, что субъектами КИИ являются организации, которым на законном основании принадлежат ОКИИ и которые осуществляют свою деятельность в одной или нескольких значимых для государства сферах: здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Здесь важно отметить, что не каждая организация, осуществляющая деятельность в обозначенных выше сферах, будет являться субъектом КИИ, так как необходимым условием является именно владение на законном основании ОКИИ.
Общая последовательность осуществления субъектом КИИ процедуры категорирования ОКИИ представлена на схеме:
1. Создание комиссии по категорированию
На первом этапе необходимо сформировать специальную комиссию по категорированию ОКИИ. Возглавлять данную комиссию должен руководитель субъекта КИИ или уполномоченное им лицо. В качестве уполномоченного лица обычно выступает сотрудник, отвечающий за безопасность организации. Также в состав комиссии включаются следующие категории сотрудников субъекта КИИ:
— сотрудники, являющиеся специалистами в сфере деятельности Субъекта КИИ,
— сотрудники, осуществляющие эксплуатацию основных систем и оборудования,
— сотрудники, обеспечивающие безопасность ОКИИ,
— сотрудники подразделения по защите государственной тайны,
— сотрудники подразделения по гражданской обороне и защите от чрезвычайных ситуаций.
Таким образом, в состав комиссии может входить любой специалист субъекта КИИ, квалификация и опыт которого необходимы для проведения корректной оценки показателей критериев значимости ОКИИ. Кроме того, в комиссию по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
Действует данная комиссия на постоянной основе, то есть на весь период действия статуса «субъект КИИ». В рамках своей деятельности она осуществляет выявление критических процессов и выявление ОКИИ, моделирует действия нарушителя, анализирует уязвимости, выявляет угрозы безопасности информации, даёт оценку возможных последствий компьютерных атак на ОКИИ и устанавливает каждому ОКИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
Создание комиссии по категорированию ОКИИ оформляется в виде стандартного распорядительного документа – приказа.
2. Выявление критических процессов субъекта КИИ
На данном этапе ранее созданной комиссии необходимо провести аналитическую работу по определению основных процессов в рамках осуществления видов деятельности организации – субъекта КИИ. В качестве источника информации по существующим процессам в организации могут служить устав, учредительная документация, лицензии, сертификаты, организационно-штатная структура, положения различных подразделений и прочее. Далее, на основании полученной информации, комиссии следует выявить среди всех процессов только те, которые являются критическими. Под критическими процессами следует понимать те процессы, нарушение функционирования которых может привести к негативным социальным, экономическим, политическим и экологическим последствиям, а также негативно повлиять на обеспечение обороны страны, безопасности государства и правопорядка.
Примеры некоторых типовых критических процессов в зависимости от сферы деятельности можно посмотреть в методических рекомендациях, которые приведены в конце статьи.
3. Составление перечня ОКИИ
В рамках текущего этапа комиссии по категорированию необходимо осуществить инвентаризацию инфраструктуры своей организации с целью выявления информационных систем (далее ИС), автоматизированных систем управления (далее АСУ) или информационно-телекоммуникационных сетей (далее ИТКС), которые обеспечивают выполнение критических процессов субъекта КИИ. Здесь важно корректно выстроить взаимосвязи и иерархию с ИС, АСУ, ИТКС таких типов сущностей, как:
— программно-аппаратное средство (пользовательский компьютер, сервер, телекоммуникационное оборудование, средство беспроводного доступа),
— общесистемное программное обеспечение (клиентское, серверная операционная система, средство виртуализации),
— прикладное программное обеспечение,
— средство защиты информации.
Полученная по итогам инвентаризации информация будет необходима для последующих процедур и формирования результатов категорирования по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236.
4. Направление во ФСТЭК России перечня ОКИИ
На данном этапе необходимо осуществить оформление полученного перечня ОКИИ, подлежащих категорированию в соответствии с рекомендуемой ФСТЭК России формой (см. Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752), которая утверждается руководителем субъекта КИИ или уполномоченным лицом, а также регулятором сферы деятельности субъекта КИИ. Утвержденную форму на бумажном и электронном носителе необходимо направить на согласование во ФСТЭК России.
5. Присвоение категории значимости ОКИИ
По итогам прошлого этапа направления утвержденного перечня ОКИИ у субъекта возникает обязательство, а именно: в течение одного года с момента утвержденного перечня ОКИИ осуществить процедуру присвоения категории значимости ОКИИ.
В рамках процедуры категорирования комиссия субъекта КИИ:
— выполняет моделирование действий нарушителей и рассматривает иные источники угроз безопасности информации в отношении ОКИИ,
— производит анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ.
Далее комиссия по категорированию производит оценку возможных последствий в результате возникновения компьютерных инцидентов каждого ОКИИ на основании 14-ти показателей значимости ОКИИ РФ и их значений, которые приведены в Постановлении Правительства РФ № 127. Важно отметить, что категория значимости ОКИИ присваивается по максимальному значению одного из критерия значимости.
Результирующим документом данного процесса является утвержденный комиссией субъекта КИИ акт категорирования ОКИИ с присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Содержание данного документа базируется на форме из Приказа ФСТЭК России от 22 декабря 2017 г. N 236.
6. Направление во ФСТЭК России результата присвоения категории ОКИИ
На последнем этапе комиссии по категорированию необходимо в течение 10-ти дней со дня утверждения актов категорирования ОКИИ направить результаты в ФСТЭК России по форме Приказа ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
— Безопасность объектов критической информационной инфраструктуры организации (общие рекомендации). От Межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности».
— Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса. От Минэнерго России.
— Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих. субъектам критической информационной инфраструктуры, функционирующим в сфере связи. От Общественно-государственного объединения «Ассоциация документальной электросвязи».
— Методические рекомендации по категорированию объектов КИИ. От компании «СТЭП ЛОДЖИК».
187-ФЗ. Безопасность объектов КИИ организации
187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» вышедший в середине 2017 года и вступивший в силу с 1 января 2018 года еще с самого выхода в свет породил массу вопросов.
По прошествии полугода со дня вступления его в законную силу в сообществе специалистов по информационной безопасности возникло множество различных, иногда диаметрально противоположных, точек зрения относительно практики его применения.
В этой связи, Ассоциацией руководителей служб информационной безопасности была выдвинута инициатива по подготовке практического пособия, целью которого является формулировка рекомендаций (дорожной карты) для специалистов служб информационной безопасности и информационно-технического обеспечения, дающих понимание того, что такое критическая информационная инфраструктура и какие шаги необходимо предпринять для обеспечения ее безопасности на уровне организации.
Рисунок 1. Дорожная карта по выполнению требований Федерального закона «О безопасности критической информационной инфраструктуры»
Данное пособие является первой попыткой представить в комплексе весь спектр основных вопросов касающихся указанной тематики с учетом сложностей и неоднозначностей толкования принятых нормативно-правовых актов и отсутствия практики их право применения.
В целом, алгоритм связанный с обеспечением безопасности объектов критической информационной инфраструктуры в организации можно представить в виде следующих шагов (рисунок 1).
В главах данного пособия коллектив авторов – практиков в области защиты информации, рассматривает вопросы реализации указанного алгоритма, затрагивает ряд спорных и проблемных моментов, вызывающих вопросы у руководителей служб информационной безопасности и представителей бизнес сообщества.
Данное пособие подготовлено коллективом авторов – членов Ассоциации руководителей служб информационной безопасности (aciso.ru):
• Главы 1 и 2 – Константин Саматов
• Глава 3 – Лев Палей, Константин Саматов
• Глава 4 – Радмир Нафиков
• Глава 5 – Александр Мишурин
• Глава 6 – Николай Носов
Редакционная коллегия: Виктор Минин, Сергей Петренко, Сергей Чучаев, Александр Полещук.
ЧТО ТАКОЕ КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА? (ГЛАВА 1)
Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (далее по тексту – КИИ) сформулированы в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации» (далее по тексту – Закон «О безопасности КИИ»). В соответствии с ней, под КИИ понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Как видно из определения критическая информационная инфраструктура Российской Федерации представляет собой совокупность всех принадлежащих российским организациям и органам государственной власти объектов КИИ и обеспечивающих их взаимодействие сетей электросвязи.
Объекты КИИ – это имеющиеся у субъектов КИИ:
Таким образом, закон предусматривает два вида субъектов КИИ – владельцы объектов КИИ и координаторы взаимодействия этих объектов.
С точки зрения практического применения следует иметь в виду, что при определении является ли организация (государственный орган, учреждение) субъектом КИИ, необходимо оценивать сферу функционирования не принадлежащей ей ИС, АСУ или ИТКС, а сферу деятельности самой организации.
ТИПОЛОГИЯ ОБЪЕКТОВ КИИ. (ГЛАВА 2)
Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, достаточно большое количество вопросов связано с типологией объектов критической информационной инфраструктуры (далее по тексту – Объект КИИ, ОКИИ).
Типология – это классификация объекта по его существенным признакам. Классификация имеет познавательное значение и предназначена для постоянного использования в науке или области практической деятельности, в целях выявления существенных сходства и различия между предметами, а также систематизации объектов по каким-либо признакам.
Прикладное (практическое) значение типологии в том, что правильное определение типа объекта КИИ позволяет сформировать перечень мер, необходимых для обеспечения его безопасности, в том числе с учетом требований специальных нормативных правовых актов:
По значимости, ОКИИ подразделяются на следующие виды:
Классификация ОКИИ по значимости
С точки зрения значимости, объекты КИИ подразделяются на два вида: «значимый» и «не значимый», а значимые объекты делятся на три целевых уровня защищенности – «категории значимости» (в соответствии с ч. 3 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»): максимальный целевой уровень защищенности – первый, минимальный – третий.
От уровня защищенности значимого ОКИИ, которому он должен соответствовать (т.н. «целевой уровень безопасности объекта защиты»), зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение его функционирования.
Что касается объектов КИИ не отнесенных к значимым, то для них не требуется построения дополнительной системы безопасности, состав и содержание мер защиты информации для указанных объектов регламентирован в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: ИСПДн, АСУ ТП и т.п.
При этом, все субъекты (как значимые, так и нет), наделяются следующими правами (ст. 9 187-ФЗ):
Помимо прав, на все субъекты КИИ возлагаются следующие обязанности:
С практической точки зрения, для выполнения возложенных на субъекта КИИ, не владеющего значимыми объектами, обязанностей, необходимо разработать регламент по реагированию на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности) в котором предусмотреть:
Субъекты КИИ, которым принадлежат значимые объекты, также обязаны:
По сфере функционирования можно выделить 14 областей:
С точки зрения практического применения следует учитывать два момента:
1. Для конкретной отрасли будет преобладающим конкретный вид объекта КИИ. Классификация объектов КИИ по сфере функционирования:
Классификация объектов КИИ по сфере функционирования. ИС – информационные системы; АСУ – автоматизированные системы управления; ИТКС – информационно-телекоммуникационные сети.
2. Необходимо оценивать, с точки зрения функционирования в той или иной сфере, именно субъекта, а не объект КИИ.
При этом, важным становится вопрос о том, как определить сферу деятельности самой организации? Очевидно, что основным документом, опираясь на который можно это сделать, является выписка из Единого государственного реестра юридических лиц (ЕГРЮЛ), в которой содержатся сведения о заявленных организацией видах деятельность и наличии у нее
лицензий. Кроме того, информация о сфере функционирования организации содержится в ее Уставе (Положении). При этом, как правило, информация Устава (Положения) и ЕГРЮЛ совпадает.
По виду системы объекты КИИ подразделяются на следующие виды:
Классификация ОКИИ по виду системы.
ГИС – государственная информационная система, МИС – муниципальная информационная система, ИСПДн – информационная система персональных данных, ГИСПДн – государственная информационная система персональных данных, МИСПДн – муниципальная система персональных данных.
С практической точки зрения важность правильного определения вида системы позволяет понять, какой перечень мер необходимо применять для обеспечения безопасности ОКИИ.
Основные нормативно-правовые акты, устанавливающие меры защиты ОКИИ
Пояснение к таблице:
Таким образом, правильное определение типа объекта КИИ позволяет определить набор мер, необходимых для создания системы безопасности, а также избежать ошибок при категорировании.
НЕКОТОРЫЕ ОТВЕТЫ РЕГУЛЯТОРА НА СПОРНЫЕ ВОПРОСЫ
Данные ответы получены на официальный запрос АРСИБ во ФСТЭК России:
Вопрос: Каким образом желательно составить перечень по системам (ИС, ИТКС, АСУ)? Например, автоматизированные системы цеха оставить полностью (АСУ Цеха) или стоит все-таки делить по агрегатам (АСУ агрегата 1, АСУ агрегата 2 и т.д.)?
Ответ: Решение о степени детализации объектов критической информационной инфраструктуры принимается субъектом критической информационной инфраструктуры самостоятельно с учетом определений терминов «информационная система», «информационно- телекоммуникационная сеть» и «автоматизированная система управления», приведенных в пунктах 3 и 4 статьи 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в пункте 1 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ), а также на основании эксплуатационной и технической документации на указанные объекты критической информационной инфраструктуры.
Вопрос: Необходимо составлять перечень абсолютно всех систем предприятия, в том числе и самых незначительных?
Ответ: В соответствии с подпунктами «а» – «г» пункта 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 (далее – Правила), в перечень объектов критической информационной инфраструктуры, подлежащих категорированию, включаются только объекты критической информационной инфраструктуры, реализующие управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, оцениваемым в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значениями, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Вопрос: При изменении какого-либо пункта Сведений (форма утверждена приказом ФСТЭК России №236) – например, сведений о применяемых мерах защиты (ведь планируется постепенное создание полноценной системы защиты информации), либо при выводе объекта КИИ из эксплуатации, каков для Субъекта КИИ порядок информирования ФСТЭК России об этих изменениях? Какой приемлемый период для информирования о происшедших изменениях?
Ответ: В соответствии с законодательством о безопасности критической информационной инфраструктуры сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России только в следующих случаях:
№ 187-ФЗ выявленных ФСТЭК России недостатков в результате проверки сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, осуществленной в соответствии с частью 6 статьи 7 Федерального закона № 187-ФЗ;
В указанных случаях сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России в сроки, предусмотренные Федеральным законом № 187-ФЗ и Правилами.
Законодательством о безопасности критической информационной инфраструктуры информирование ФСТЭК России об изменениях сведений об объекте критической информационной инфраструктуры в иных случаях не предусмотрено.
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Руслан Рахметов, Security Vision
Обеспечение безопасности КИИ
Приказ ФСТЭК о безопасности КИИ
В прошлой публикации мы рассмотрели основные этапы процедуры категорирования объектов критической информационной инфраструктуры (далее ОКИИ), по результатам которой субъект критической информационной инфраструктуры (далее субъект КИИ) выявляет ОКИИ и присваивает им категории значимости. В данной статье мы подробно рассмотрим нормативные требования, регламентирующие обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее ЗОКИИ), которые содержатся в Приказах ФСТЭК России № 235 и № 239.
Подход к обеспечению безопасности ЗОКИИ следует начинать с Приказа ФСТЭК России № 235, который предписывает субъекту КИИ создание системы безопасности ЗОКИИ. Под системой здесь понимается совокупность правовых, организационных, технических и прочих мер, которые должны быть направлены на обеспечение безопасности и устойчивого функционирования ЗОКИИ при проведении в отношении них компьютерных атак.
Обеспечение безопасности критической информационной инфраструктуры в рамках системы безопасности ЗОКИИ должна решать задачи по предотвращению неправомерного доступа к информации, недопущению воздействия на технические средства обработки информации, восстановлению функционирования ЗОКИИ и осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждение и ликвидация последствий компьютерных атак (ГосСОПКА).
Создаваемая субъектом КИИ система обеспечения безопасности ЗОКИИ должна соответствовать ряду требований.
1. Требования к силам
К силам обеспечения безопасности ЗОКИИ в первую очередь относятся подразделения (работники), которые непосредственно являются ответственными обеспечение безопасности. Кроме того, к силам относятся структурные подразделения субъекта КИИ, которые эксплуатируют или обеспечивают функционирование ЗОКИИ.
На подразделения или работников, которые являются ответственными за безопасность критической информационной инфраструктуры в части защиты ЗОКИИ, в обязательном порядке возлагаются следующие основные функции:
— разработка предложений по совершенствованию организационно-распорядительной документации (ОРД) по безопасности ЗОКИИ;
— проведение анализа угроз и выявления уязвимостей;
— обеспечение реализации требований по обеспечению безопасности ЗОКИИ;
— реализация организационных мер, применение СЗИ и их эксплуатация;
— осуществление реагирования на компьютерные инциденты,
— организация периодических оценок соответствия ЗОКИИ требованиям по безопасности,
— подготовка предложений по совершенствованию системы и повышению уровня безопасности.
Здесь важно отметить, что Приказом не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности ЗОКИИ или обеспечением информационной безопасности субъекта КИИ в целом.
2. Требования к средствам
Данные требования касаются применяемых для обеспечения безопасности ЗОКИИ программных и программно-аппаратных средств защиты информации. К таким средствам относятся: средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений, средства предотвращения вторжений, средства антивирусной защиты, средства контроля и анализа защищенности, средства управления событиями безопасности, средства каналов передачи данных.
Документ предписывает использовать для защиты ЗОКИИ сертифицированные средства или средства, прошедшие оценку соответствия в форме испытаний (приемки). Кроме того, все применяемые средства защиты должны быть обеспечены гарантийной, технической поддержкой со стороны разработчиков.
3. Требования к организационно-распорядительным документам
Состав и формы организационно-распорядительной документации разрабатываются субъектом КИИ самостоятельно с учетом сферы и особенностей его деятельности. При этом ОРД должна в обязательном порядке определять следующие аспекты:
— Цели и задачи обеспечения безопасности ЗОКИИ;
— Основные угрозы и категории нарушителей;
— Основные организационные и технические мероприятия;
— Состав, структуру и функции системы безопасности;
— Порядок применения, формы оценки соответствия ЗОКИИ и средств защиты информации требованиям по безопасности;
— Планы мероприятий по обеспечению безопасности ЗОКИИ;
— Модели угроз в отношении ЗОКИИ;
— Порядок реализации мер и проведения испытаний (приемки) средств защиты информации;
— Порядок реагирования на компьютерные инциденты;
— Порядок информирования и обучения работников;
— Порядок взаимодействия между подразделениями субъекта КИИ при решении задач обеспечения безопасности ЗОКИИ;
— Порядок взаимодействия с ГосСОПКА;
— Правила безопасной работы сотрудников субъекта КИИ на ЗОКИИ и действия при возникновении компьютерных инцидентов.
4. Требования к функционированию
Здесь Приказ ФСТЭК России №235 предписывает, что внутри субъекта КИИ должны быть внедрены и выстроены следующие процессы по обеспечению безопасности ЗОКИИ:
— Планирование и разработка мероприятий (ежегодных или более длительных);
— Реализация (внедрение) мероприятий (организационные и (или) технические);
— Контроль текущего состояния безопасности ЗОКИИ (не реже чем раз в 3 года);
— Совершенствование безопасности ЗОКИИ (предложения в план).
Важно отметить, что все эти процессы должны сопровождаться и подтверждаться различной документацией (отчетами, актами, протоколами, приказами), так как впоследствии эти документы могут являться предметом проверки со стороны регулятора.
Перейдем к следующему, не менее важному Приказу ФСТЭК России № 239. Данный Приказ ФСТЭК достаточно подробно описывает требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.
1. Создание или модернизация
При создании или модернизации подсистемы безопасности ЗОКИИ требования устанавливаются в техническом задании. Их содержание должно быть следующим:
— цель и задачи обеспечения безопасности ЗОКИИ;
— категория значимости ЗОКИИ;
— перечень нормативных правовых актов, методических документов и стандартов, которым должен соответствовать ЗОКИИ;
— перечень типов объектов защиты ЗОКИИ;
— требования к организационным и техническим мерам;
— этапы работ по созданию подсистемы безопасности ЗОКИИ;
— требования к применяемым программным и программно-аппаратным средствам;
— требования к защите средств и систем, обеспечивающих функционирование ЗОКИИ;
— требования к информационному взаимодействию ЗОКИИ с другими ОКИИ или ИС, АСУ ИТКС;
— требования к составу и содержанию разрабатываемой документации.
При разработке организационных и технических мер по обеспечению безопасности ЗОКИИ в обязательном порядке должны быть осуществлены:
— анализ угроз и разработка модели угроз безопасности информации;
— проектирование подсистемы безопасности ЗОКИИ;
— разработка рабочей документации в части обеспечения безопасности ЗОКИИ.
Требования к организационным и техническим мерам принимаются в зависимости от ранее присвоенной категории значимости ЗОКИИ и актуальных угроз безопасности, реализация которых может привести к прекращению или нарушению функционирования ЗОКИИ. Общий перечень организационных и технических мер, которые необходимо применять, представлен ниже:
— идентификация и аутентификация (ИАФ);
— управление доступом (УПД);
— ограничение программной среды (ОПС);
— защита машинных носителей информации (ЗНИ);
— аудит безопасности (АУД);
— антивирусная защита (АВЗ);
— предотвращение вторжений (компьютерных атак) (СОВ);
— обеспечение целостности (ОЦЛ);
— обеспечение доступности (ОДТ);
— защита технических средств и систем (ЗТС);
— защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
— планирование мероприятий по обеспечению безопасности (ПЛН);
— управление конфигурацией (УКФ);
— управление обновлениями программного обеспечения (ОПО);
— реагирование на инциденты информационной безопасности (ИНЦ);
— обеспечение действий в нештатных ситуациях (ДНС);
— информирование и обучение персонала (ИПО).
Более подробный состав мер по обеспечению безопасности ЗОКИИ, которые необходимо применять в зависимости от присвоенной категории значимости, представлен в табличной форме Приложения к Приказу ФСТЭК России № 239.
По итогам ранее разработанных документов и на их основании осуществляется внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ. Внедрение предусматривает следующие работы:
— установку и настройка средств защиты информации;
— разработку ОРД, правил и процедур;
— внедрение организационных мер;
— проведение предварительных испытаний;
— проведение опытной эксплуатации;
— анализ уязвимостей и принятие мер по их устранению;
— приемочные испытания.
Конечным результатом первого этапа является ввод в эксплуатацию ЗОКИИ и его подсистемы безопасности при положительном заключении, который оформляется актом приемки.
В ходе эксплуатации ЗОКИИ Приказ ФСТЭК России № 239 предписывает реализацию следующих мероприятий:
— планирование мероприятий по обеспечению безопасности ЗОКИИ;
— проведения анализа угроз и последствий от их реализации;
— администрирование подсистемы безопасности ЗОКИИ;
— управление конфигурацией ЗОКИИ и подсистемы безопасности;
— реагирование на компьютерные инциденты;
— обеспечение действий в нештатных ситуациях;
— информирование и обучение персонала ЗОКИИ;
— осуществление контроля за обеспечением безопасности ЗОКИИ.
3. Вывод из эксплуатации
При принятии решения об окончании жизненного цикла ЗОКИИ субъекту КИИ необходимо осуществить ряд процедур, которые предусматривает нормативный документ:
— архивирование информации ЗОКИИ;
— уничтожение данных и остаточной информации из ЗОКИИ;
— уничтожение или архивирование данных об архитектуре и конфигурации ЗОКИИ;
— архивирование или уничтожение эксплуатационной документации на ЗОКИИ.
Важно отметить, что процедуры уничтожения должны быть задокументированы субъектом КИИ с указанием наименования, состава документов, способов и даты их уничтожения.
Как мы видим, документы регулятора предписывают осуществлять достаточно большой объем обязательных процедур, не считая непосредственной операционной деятельности по отражению компьютерных атак. Необходимо учитывать, что значимые критические ИС, АСУ или ИТКС не являются статическими сущностями, они очень часто подвергаются модернизации, а это в свою очередь влечет необходимость пересмотра всех ранее разработанных документов ЗОКИИ, вплоть до пересмотра категории значимости объекта. Поэтому субъектам КИИ важно понимать, что обеспечение безопасности ЗОКИИ – это непрерывный процесс на протяжении всего существования критических ИС, АСУ или ИТКС. Собственно, именно по этой причине регулятор предписывает выделять специалистов, ответственных за безопасность ЗОКИИ, в отдельное структурное подразделение и не допускать возложения на них косвенных функций и задач.