Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Порядок категорирования объектов КИИ
Категорирование объектов КИИ осуществляется согласно постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках: общероссийский классификатор видов экономической деятельности; лицензии и иные разрешительные документы на различные виды деятельности; уставы, положения организаций (госорганов); другие источники. Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности. Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ. На рис.1 представлены этапы категорирования объектов СБО КИИ. Рис.1 – Процесс категорирования КИИ Категорирование проходит следующим образом: 1. Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие). 2. Определяются объекты КИИ, связанные с этими процессами. 3. Полученный перечень согласовывается со ФСТЭК в течение пяти дней. Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории. При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп. Первая категория означает, что объект требует максимальной защиты. Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти: по мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;
объект перестал соответствовать критериям значимости и показателям их значений; субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме; субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК. 4. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. 5. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней. Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гос. тайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.
Требования к системам безопасности значимых объектов КИИ
Регулируются Приказом ФСТЭК от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».Приказ принят, проходит регистрацию в Минюсте РФ. Система безопасности значимых объектов — это совокупность организационных, технических, правовых и других мер. Она может быть создана для обеспечения безопасности одного объекта или совокупности объектов. Кроме того, субъект в праве создать одну систему безопасности для всех значимых объектов. Требования, описанные в приказе, едины для объектов всех трёх категорий. Допускается применять их в том числе для обеспечения безопасности незначимых объектов. Задачи, выполняемые системой безопасности: 1. предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами; 2. предотвращение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объектов;
3. восстановление функционирования объектов, если они вышли из строя; 4. непрерывное взаимодействие с ГОССОПКА. В состав системы безопасности входят три основных элемента: силы, средства, организационно-распорядительные документы. Под силами системы безопасности значимых объектов понимаются сотрудники субъекта КИИ. А именно: 1. руководитель субъекта — определяет состав и структуру системы и функции её участников по обеспечению безопасности; 2. уполномоченное лицо (назначается по решению руководителя) — создаёт систему безопасности, контролирует её функционирование; 3. в зависимости от количества объектов, их категорий и загруженности персонала в структурных подразделениях назначаются ответственные за обеспечение безопасности КИИ. К ответственным относятся: работники подразделений, эксплуатирующих объект — обеспечивают безопасность во время эксплуатации; работники подразделений, обеспечивающих функционирование — осуществляют свои функции в соответствии с правилами безопасности; данные сотрудники должны обладать соответствующими знаниями и навыками для обеспечения безопасности значимых объектов, а также должны ежегодно проходить повышение уровня знаний по вопросам обеспечения безопасности КИИ и возможным угрозам. 4. подразделения, ответственные за обеспечение безопасности — выполняют исключительно функции по обеспечению безопасности объекта. Для проведения работ по обеспечению безопасности КИИ субъектами также могут привлекаться внешние организации. Однако у таких организаций должна быть соответствующая лицензия ФСТЭК России: либо в области защиты государственной тайны (если на объекте обрабатывается информация, составляющая гос. тайну), либо по технической защите конфиденциальной информации. К средствам относятся программные и программно-аппаратные средства, предназначенные для обеспечения безопасности объекта. Средства должны пройти оценку соответствия. В случае, если объектом обрабатывается государственная тайна или объект КИИ представляет собой государственную информационную систему, сертификация обязательна. В приоритетном порядке применяются встроенные в рабочие системы специальные программные средства защиты информации. Они должны применяться в соответствии с эксплуатационной документацией и обязательно сопровождаться поддержкой со стороны разработчика. При создании системы также должны учитываться возможные ограничения самого разработчика, например, запрет использования средства на определённых объектах Нормативно-организационные документы разделяются на три категории: общесистемные документы (определяют цели, задачи, существующие угрозы, основные организационно-технические мероприятия, состав и структуру системы безопасности); документы, которые встроены в правила безопасной работы работников и регламенты действий в случае возникновения инцидентов или иных внештатных ситуаций; документы планирования и документы, в которых описаны действия работников в различных ситуациях (порядок проведения испытаний, порядок приёмки, порядок взаимодействия подразделений и т.д.). Состав и форма документов определяются субъектом КИИ самостоятельно. Допускается изложение всех перечисленных положений в одном документе, а также частичное изложение в разных документах при условии отражении этого в системе ОРД субъекта.
Отдельно подчеркивается, что документация должна быть не формальным набором инструкций, а реальным руководством сотрудников.
Требования к функционированию системы безопасности значимых объектов КИИ
Требования к функционированию системы безопасности разделены на 4 этапа, соответствующие классическому циклу PDCA: 1. Планирование и разработка мероприятий. В рамках этого этапа должен ежегодно разрабатываться План мероприятий по обеспечению безопасности значимых объектов. Утверждается исключительно руководителем субъекта КИИ. В отношении каждого мероприятия должны быть определены сроки реализации и подразделения, ответственные за исполнение. Контроль за исполнением осуществляется структурным подразделением по безопасности. Результаты отражаются в отчете, который предоставляется руководителю субъекта КИИ. 2. Реализация (внедрение) мероприятий. В рамках этого этапа реализуется составленный План мероприятий. Выполнение мероприятий осуществляется в соответствии с заранее разработанными организационно-структурными документами субъекта. Этап включает принятие организационно-технических мер, применение технических средств защиты информации. Результаты документируются и учитываются при подготовке следующего ежегодного Плана. 3. Контроль состояния безопасности объектов. Проводится ежегодно. Выделяется внешний и внутренний контроль состояния безопасности. Внутренний контроль проводится комиссией, назначаемой субъектом. В состав входят работники подразделения, ответственного за обеспечение безопасности, а также сотрудники заинтересованных подразделений. Внешний контроль (аудит) проводится внешней организацией, имеющей лицензию в области услуг по контролю защищенности информации от НСД и её модификации системах и средствах автоматизации. 4. Совершенствование безопасности объектов. Осуществляется в 3 этапа подразделением по безопасности. проводится анализ функционирования системы безопасности и состояние безопасности объектов; по результатам осуществляется разработка предложений по развитию системы безопасности; рассмотренные предложения представляются руководителю субъекта КИИ и могут быть внесены в План мероприятий; требования по обеспечению безопасности значимых объектов КИИ. Регулируются Приказом ФСТЭК от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Структура документа схожа с Приказами ФСТЭК №17 и 21 и включает в себя: общие положения, требования по обеспечению безопасности на этапах жизненного цикла, требования к организационным и техническим мерам, а также приложение с перечнем мер по обеспечению безопасности. Требования документа распространяются на все стадии жизненного цикла системы безопасности: создание, эксплуатация, вывод из эксплуатации. Если на данный момент значимый объект уже функционирует, то требования должны быть выполнены при его ближайшей модернизации. Реализация требований к ИБ, описанных в Приказе, включает в себя 5 базовых шагов: Шаг 1. Формирование перечня применимых требований. Включает в себя категорирование объекта КИИ (в соответствии с постановлением Правительства № 127 от 08.02.2018 г.), а также требования по обеспечению безопасности, включаемые в ТЗ.
|
|||||||
Последнее изменение этой страницы: 2020-12-19; просмотров: 251; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.221.222.47 (0.016 с.) |