Всем привет! Сегодня хотел бы затронуть тему защиты информации критической информационной инфраструктуре (далее – КИИ). Начнем с определения, что такое КИИ – объекты критической инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Что по поводу нормативной базы:
Для проведения предварительного анализа и дальнейшего категорирования, приказом руководителя создается комиссия по категорированию для реализации описанных выше задач (пример приказа есть в сети).
Далее выделяем критические процессы. Не все процессы одинаково влияют на результат деятельности вашей организации. Нам нужно выделить критические процессы, оказывающие наибольшее воздействие. Под критическими понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим итд. последствиям для обеспечения обороны страны, безопасности государства. На данный момент нет общих нормативных актов, которые бы регламентировали отнесение технологических процессов к критическим. Каждая организация сама определяет такой порядок.
Далее идет описание ИС, обеспечивающих критические процессы. При анализе ИС были выделены системы, обрабатывающие информацию, необходимую для обеспечения критических процессов организации. Итак, мы выбрали ИС и определили их как объекты КИИ. Для всех объектов КИИ определяем сведения, содержащиеся в ОРД:
Переходим к следующей задаче: Категорирование объектов КИИ, анализ угроз безопасности, возможные действия нарушителя.
После отправки сведений в ФСТЭК, нужно провести категорирование объектов в срок, не превышающий одного года со дня утверждения субъектом КИИ данного перечня. Что нам для этого нужно:
Категорирование объектов КИИ регламентировано правилами категорирования объектов КИИ РФ. Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, представленных в ПП 127.
Делаем выводы. Мы рассмотрели возможные действия нарушителей в отношении объекта КИИ (Модель нарушителя далее - МУ), проанализировали угрозы (Модель угроз). В соответствии с перечнем показателей критериев значимости оценили масштаб возможных последствий, установили категорию значимости объекта КИИ.
Далее мы приступаем к разработке организационных и технических мер.
После того, как определили категорию значимости, нам необходимо:
Подводя итоги. Мы рассмотрели этапы приведение в соответствие объектов КИИ. Если в вашей организации есть объекты КИИ, то лучше не откладывать это на последний день и отнестись к этому серьезно. За несоблюдение требований по обеспечению безопасности КИИ, согласно ФЗ-194 максимальная мера наказания, за нарушение норм безопасности КИИ, составляет лишение свободы до 10 лет. Думаю, есть над чем задуматься
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
Что по поводу нормативной базы:
- Федеральный закон ФЗ-187 «О безопасности КИИ РФ», регулирует отношения в области КИИ. В документе сформулированы определения субъекта и объекта КИИ, безопасности КИИ и компьютерного инцидента.
- ПП №127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». В документе определены правила категорирования объектов КИИ.
- Приказ ФСТЭК №235 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».
- Описать общую структуру субъекта КИИ с его процессами и объектами, обеспечивающими критические процессы.
- Провести категорирование выбранного объекта КИИ
- Провести анализ угроз безопасности
- Разработать организационные и технические меры для обеспечения безопасности значимых объектов КИИ
- Подготовить в ФСТЭК сведения о результатах присвоения объекту КИИ одной из категорий значимости.
Для проведения предварительного анализа и дальнейшего категорирования, приказом руководителя создается комиссия по категорированию для реализации описанных выше задач (пример приказа есть в сети).
Далее выделяем критические процессы. Не все процессы одинаково влияют на результат деятельности вашей организации. Нам нужно выделить критические процессы, оказывающие наибольшее воздействие. Под критическими понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим итд. последствиям для обеспечения обороны страны, безопасности государства. На данный момент нет общих нормативных актов, которые бы регламентировали отнесение технологических процессов к критическим. Каждая организация сама определяет такой порядок.
Далее идет описание ИС, обеспечивающих критические процессы. При анализе ИС были выделены системы, обрабатывающие информацию, необходимую для обеспечения критических процессов организации. Итак, мы выбрали ИС и определили их как объекты КИИ. Для всех объектов КИИ определяем сведения, содержащиеся в ОРД:
- Название системы
- Архитектура
- Программное и аппаратное обеспечение
- Взаимодействие с другими объектами КИИ
- Наличие и характеристики доступа к сетям связи
Переходим к следующей задаче: Категорирование объектов КИИ, анализ угроз безопасности, возможные действия нарушителя.
После отправки сведений в ФСТЭК, нужно провести категорирование объектов в срок, не превышающий одного года со дня утверждения субъектом КИИ данного перечня. Что нам для этого нужно:
- Проанализировать угрозы (Модель угроз)
- Рассмотреть возможности нарушителя (Модель нарушителя)
- В соответствии с перечнем показателей критериев значимости оценить масштаб возможных последствий от реализации компьютерных инцидентов.
- Каждому из объектов КИИ установить одну из категорий значимости либо обосновать отсутствие.
Категорирование объектов КИИ регламентировано правилами категорирования объектов КИИ РФ. Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, представленных в ПП 127.
Делаем выводы. Мы рассмотрели возможные действия нарушителей в отношении объекта КИИ (Модель нарушителя далее - МУ), проанализировали угрозы (Модель угроз). В соответствии с перечнем показателей критериев значимости оценили масштаб возможных последствий, установили категорию значимости объекта КИИ.
Далее мы приступаем к разработке организационных и технических мер.
После того, как определили категорию значимости, нам необходимо:
- В соответствии с требованиями по обеспечению безопасности значимых объектов КИИ и МУ, определить необходимые меры по обеспечению безопасности объекта КИИ согласно категории значимости, которую мы установили.
- Разработать организационные и технические меры в соответствии с требованиями (ФСТЭК)
- Выбрать ТСЗИ
- Подготовить итоговый акт, содержащий сведения об объекте КИИ, результаты анализа угроз, реализованные меры по обеспечению безопасности, сведения о присвоенной объекту КИИ категории значимости. Направить акт в ФСТЭК
Подводя итоги. Мы рассмотрели этапы приведение в соответствие объектов КИИ. Если в вашей организации есть объекты КИИ, то лучше не откладывать это на последний день и отнестись к этому серьезно. За несоблюдение требований по обеспечению безопасности КИИ, согласно ФЗ-194 максимальная мера наказания, за нарушение норм безопасности КИИ, составляет лишение свободы до 10 лет. Думаю, есть над чем задуматься
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
Последнее редактирование:
