Файл: Управления, как правило, имеет многоуровневую структуру.docx

• 
  Техническое задание АС
  

"Разработка и утверждение технического задания на создание АС" проводят разработку, оформление, согласование и утверждение технического задания на АС и, при необходимости, технических заданий на части АС.

18. Сертификации средств защиты информации (продукция, которую необходимо сертифицировать, состав участников системы сертификации, уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий)

Утверждено приказом ФСТЭК России от 3 апреля 2018 г. № 55 Сертификации в системе сертификации ФСТЭК России подлежат:

• 
  средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
  
• 
  средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля
  
• 
  эффективности технической защиты информации; средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
  

Участники системы сертификации

• 
  федеральный орган по сертификации;
  
• 
  организации, аккредитованные ФСТЭК России в качестве органа по сертификации (далее - органы по сертификации);
  
• 
  организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории);
  
• 
  изготовители средств защиты информации.
  

Срок действия сертификата соответствия не может превышать 5 лет.

Уровни доверия к средствам технической защиты информации

6 уровень доверия

• 
  в ЗО КИИ 3 категории;
  
• 
  в ГИС 3 класса;
  
• 
  в АСУТП 3 класса;
  
• 
  в ИСПДн УЗ 3 и УЗ 4.
  

5 уровень доверия

• 
  в ЗО КИИ 2 категории;
  
• 
  в ГИС 2 класса;
  
• 
  в АСУТП 2 класса;
  
• 
  в ИСПДн УЗ 2.
  

4 уровень доверия

• 
  в ЗО КИИ 1 категории;
  
• 
  в ГИС 1 класса;
  
• 
  в АСУТП 1 класса;
  
• 
  в ИСПДн УЗ 1;
  
• 
  в ИС общего пользования II класса
  

СЗИ, соответствующие 1, 2 и 3 уровням доверия, применяются в ИС (АС), в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

---

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

СЗИ 6 класса должны соответствовать 6 уровню доверия;

СЗИ 5 класса должны соответствовать 5 уровню доверия;

СЗИ 4 класса и СВТ 5 класса должны соответствовать 4 уровню доверия.

19. 1   ...   5   6   7   8   9   10   11   12   13

---

ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ И РЕЖИМ КОММЕРЧЕСКОЙ ТАЙНЫ

98-ФЗ "О коммерческой тайне"

Организация защиты информации — совокупность действий, направленных на выявление угроз безопасности информации, планирование, реализацию мероприятий по защите информации и контроль состояния защиты информации.

Режим коммерческой тайны — правовые, организационные, технические и иные, принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

Коммерческая тайна — это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

Режим коммерческой тайны не распространяется на сведения:

• 
  из учредительных и регистрационных документов компании;
  
• 
  о численности, составе работников, системе оплаты труда, условиях труда, охране труда, показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
  
• 
  размере задолженности по заработной плате работников и соцвыплатам;
  
• 
  фактах нарушения законодательства и привлечения к ответственности за их совершение;
  
• 
  состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
  
• 
  состоянии окружающей среды (экологическая информация)
  

Согласно ч. 1 и 2 ст. 10 Закона о коммерческой тайне режим коммерческой тайны считается установленным после принятия обладателем информации, входящей в ее состав, следующих мер:

• 
  определения перечня информации, составляющей коммерческую тайну;
  
• 
  ограничения доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
  
• 
  учета лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
  
• 
  регулирования отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
  

---

20. Наиболее распространенные проблемы кибербезопасности промышленных объектов

Тоже самое что 9

21. ГосСОПКА Общее описание структуры

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) является территориально распределенной совокупностью центров (сил и средств), организованной по ведомственному и территориальному принципам, в числе которых — Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

При разработке концепции ГосСОПКА был принят следующий подход. Государство не берет на себя обязанность защитить кого-либо от атак, такая защита по-прежнему остается проблемой владельца защищаемой системы. Вместо этого создается система центров компетенции, которые обслуживают субъектов КИИ. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов КИИ. Как правило, к таким функциям относится:

• 
  -выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей;
  
• 
  -анализ событий, регистрируемых компонентами информационных систем, для поиска признаков атак, направленных на эти системы;
  
• 
  -координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту — по ликвидации последствий такого инцидента;
  
• 
  -расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
  
• 
  -информирование персонала обслуживаемых информационных систем, проведение киберучений.
  

Принципы создания сегмента ГосСОПКА в организации не изменились и включают следующие стадии:

• 
  определение зоны ответственности, текущего состава и состояния защищаемых инфраструктур, модели угроз;
  
• 
  запуск или адаптация инструментов, требуемых для обеспечения функций центра;
  
• 
  обеспечение выполнения функций ГосСОПКА
  

Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак, и реагирование на компьютерные инциденты в своей зоне ответственности.

---

Ведомственные сегменты ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. Зоной ответственности ведомственных сегментов являются информационные ресурсы органов государственной власти.

Корпоративные сегменты ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак. Зона ответственности корпоративного сегмента ГосСОПКА определяется организацией, создавшей сегмент, на основании решения руководителя организации, внутренних нормативных актов и заключенных договоров

22. 1   ...   5   6   7   8   9   10   11   12   13

---