Файл: Управления, как правило, имеет многоуровневую структуру.docx

структуры системы защиты автоматизированной системы управления,
состава, мест установки и параметров настройки средств защиты информации,
программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);

определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
регламентация и контроль технического обслуживания, в том числе дистанционного (удаленного), технических средств и программного обеспечения автоматизированной системы управления;
управление изменениями базовой конфигурации автоматизированной системы управления и ее системы защиты, в том числе:

определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты,
санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты,
документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты,
сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты,
контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты

анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления;
определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления.

Выбор мер защиты информации для их реализации в информационной системе (Базовый набор, адаптированный, …)

239 ФСТЭК РФ

Выбор мер защиты информации для их реализации в автоматизированной системе управления в рамках ее системы защиты включает:

определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении N 2 к настоящим Требованиям;
адаптацию базового набора мер защиты информации применительно к каждому уровню автоматизированной системы управления, иным структурно-функциональным характеристикам и особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с технологиями, не используемыми в автоматизированной системе управления или ее уровнях, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней автоматизированной системы управления;
дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организации в области защиты информации

1 2 3 4 5 6 7 8 9 ... 13

Наиболее распространенные проблемы кибербезопасности промышленных объектов.

Непроектные автоматизированные рабочие места (АРМ) со внешним выходом в интернет.. С непроектного АРМ сотрудник мог подключаться к сети не только в рабочее время. Подобные машины представляют угрозу для всей технологической сети предприятия.

Открытый Wi-Fi. Используется для удобного подключения к серверам с инженерной станции. С его помощью злоумышленник может получить доступ к технологической сети без проникновения в закрытые серверные помещения.

Подключение по RDP. При неограниченном доступе к компьютеру нарушитель может легко подключиться через рабочую станцию к остальным АРМ. Злоумышленнику необязательно повышать свои права на узле, к которому он получил доступ, потому что в этих ярлыках уже прописаны логины и пароли администраторов для подключения. Хакер может получить их по RDP-соединению без физического доступа к месту, а уже потом закрепиться в сети.

Непроверенные сетевые устройства. Во время наладочных работ подрядчик подключил непроектный коммутатор с LTE-модемом к технологической сети программно-аппаратного комплекса управления экскаватором. После проведения работ коммутатор остался подключённым к технологической сети. В ходе проверки в коммутаторе обнаружилась открытая уязвимость в виде возможности удалённого доступа через облачный сервис.

Использование паролей по умолчанию. У всех вендоров есть свои стандартные кодовые слова для интеграторов. На предприятиях используются одинаковые или взятые из инструкций по эксплуатации пароли. Пугающе часто последние встречаются в открытом виде, в том числе и в файле на рабочем столе. Поэтому, в том числе, так важно соблюдение политики «чистого стола», о которой будет сказано далее.

Отсутствие политики «чистого стола». Наличие информационного «мусора» в критической ситуации затрудняет оперативное реагирование. Представим, что у оператора появляется подозрение на взлом, подмену картинки или отсутствие обновлений. Для сверки динамики он обращается к журналу регистрации. Поиск недостоверных параметров будет затруднён лишними предметами. Структурированность же позволит сэкономить драгоценное время.

Открытый физический доступ к компонентам АСУ ТП. Ограничение физического доступа к компонентам АСУ ТП подразумевает запирание помещений, контроль допуска на объект, а также пломбирование шкафов с оборудованием. В ходе проверок оказалось, что к части помещений с КТС АСУ ТП (комплекс технических средств АСУ ТП) есть бесконтрольный доступ, а некоторые даже не запираются. Инженер АСУ ТП Cloud Networks мог подойти в спецодежде и белой каске к начальнику смены или ответственному службы КИПиА (контрольно-измерительные приборы и автоматика) с просьбой открыть серверную. В 70 % случаев это делалось без наряд-доступов и каких-либо вопросов.

Отсутствие обновлений и антивирусного ПО.

Защита персональных данных. Действующие документы. Классификация ИСПДн

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Постановление Правительства РФ от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Приказ Роскомнадзора от 15 сентября 2015 года № 996 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, обеспечивающих осуществление деятельности в сети Интернет"

Классификация ИСПДн, предусмотренная Приказом Роскомнадзора от 25 апреля 2013 года № 198, определяет четыре класса информационных систем персональных данных (ИСПДн) на основе уровня конфиденциальности и доступности обрабатываемых в них персональных данных. Рассмотрим каждый класс подробнее:

Класс 1:

ИСПДн, используемые для обработки персональных данных, относящихся к категориям специальных данных, таких как данные о расовой или этнической принадлежности, политических убеждениях, религиозных или философских убеждениях, здоровье и другие особо защищаемые категории персональных данных.
К таким ИСПДн предъявляются особо жесткие требования по организации защиты персональных данных, включая ограниченный доступ, шифрование данных, контроль доступа и т.д.

Класс 2:

ИСПДн, используемые для обработки персональных данных, относящихся к государственной тайне.
Эти ИСПДн подлежат дополнительным требованиям и обеспечению безопасности согласно законодательству Российской Федерации о государственной тайне, включая режимы доступа, контроль за перемещением носителей информации и др.

Класс 3:

ИСПДн, используемые для обработки персональных данных, доступных неограниченному кругу лиц.
К таким ИСПДн относятся, например, публичные информационные системы или системы, предоставляющие доступ к персональным данным через сеть интернет.
Требуется обеспечение достаточных мер безопасности и защиты, чтобы предотвратить несанкционированный доступ или утечку персональных данных.

Класс 4:

ИСПДн, используемые для обработки персональных данных, доступных ограниченному кругу лиц.
К таким ИСПДн могут относиться, например, информационные системы, используемые внутри организаций для обработки персональных данных сотрудников.
Требуются меры безопасности и организационные мер

1 2 3 4 5 6 7 8 9 ... 13

Смотрите также файлы

Вологодский государственный университет.pdf

18. Реализация права. Толкование правовых норм.docx

Технологическая характеристика рабочей машины.docx

Прописными буквами.pdf

Проверки состояния техники безопасности на рабочих местах обучающихся гпоу нтстисо гр. Гд17.docx

Файл: Управления, как правило, имеет многоуровневую структуру.docx

Управление конфигурацией автоматизированной системы

Выбор мер защиты информации для их реализации в информационной системе (Базовый набор, адаптированный, …)

Наиболее распространенные проблемы кибербезопасности промышленных объектов.

Защита персональных данных. Действующие документы. Классификация ИСПДн

Смотрите также файлы

Информация

Списки файлов

Дополнительно