Файл: Управления, как правило, имеет многоуровневую структуру.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 25.10.2023

Просмотров: 167

Скачиваний: 5

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Порядок категорирования объектов КИИ


Постановление Правительства РФ от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.

Категорирование включает в себя:

  • определение процессов, (обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы), в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

  • выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);

  • определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

  • формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию

  • оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;

  • присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.


Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.

В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.

Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья.
  1. 187-ФЗ субъекты и объекты КИИ


Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ

Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Права субъектов КИИ:

  • Право на принятие мер по обеспечению безопасности своей информационной инфраструктуры.

  • Право на получение информации о возможных угрозах безопасности КИИ и методах защиты.

  • Право на взаимодействие с государственными органами и организациями, ответственными за обеспечение безопасности КИИ.

  • Право на проведение аудита своей информационной инфраструктуры и оценку ее уязвимостей.

  • Право на участие в разработке и совершенствовании нормативно-правовых актов, касающихся безопасности КИИ.


Обязанности субъектов КИИ:

  • Обеспечение безопасности своей информационной инфраструктуры и принятие мер по защите от возможных угроз и атак.

  • Предоставление информации о состоянии своей информационной инфраструктуры и принимаемых мерах по обеспечению безопасности органам государственной власти.

  • Соблюдение требований, установленных государством, в отношении безопасности КИИ.

  • Участие в совместных мероприятиях по обеспечению безопасности КИИ, в том числе при проведении учений и тренировок.


  1. 1   ...   5   6   7   8   9   10   11   12   13

Выявление критических процессов объектов КИИ


Основные (критические) процессы (бизнес-процессы): управленческие, организационные, технологические, производственные, финансово-экономические и иные основные процессы (бизнес-процессы), выполняемые обладателем информации, оператором в рамках реализации функций (полномочий) или осуществления основных видов деятельности, нарушение и (или) прекращение которых может привести к возникновению рисков (ущербу).

Из методических рекмендаций:

Для каждого выявленного процесса должна быть проведена оценка критичности его нарушения с точки трения возможных негативных социальных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка.

Необходимо отметить, что к критическим процессам следует относить только те процессы, которые исполняются в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона N 187-ФЗ (сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности), отраженные в уставе субъекта и внесенные в ЕГРЮЛ (Единый государственный реестр юридических лиц). В первую очередь должны рассматриваться процессы, связанные с основной функциональной деятельностью, обеспечивающие получение прибыли предприятия.

Рекомендуется использовать перечень критериев значимости объектов и их значения из приложения 1 к Постановлению N 127. Соответственно, нужно определить для каждого рассматриваемого процесса, способно ли его нарушение повлечь последствия, определенные в Перечне.

Таким образом, отсекая на данном этапе процессы, нарушение которых не может привести к последствиям, соответствующим показателям значимости, автоматически отсекаются и системы (ИС, ИТКС, АСУ ТП), автоматизирующие данные процессы, так как их нарушение также не должно иметь значимых последствий.


Значения показателей критериев значимости оцениваются комиссионно на основании результатов интервью или иным способом, полученных в ходе обследования. По каждому показателю оценивается возможность наступления указанных видов последствий (возможно/невозможно). По результатам обработки предоставленной информации формируется перечень показателей критериев значимости, применимых для субъекта ТЭК.

Таким образом, критический процесс - процесс, для которого хотя бы по одному из оцениваемых показателей критериев значимости было сделано заключение о возможности соответствующего ущерба.
  1. Требования по обеспечению безопасности значимых объектов КИИ


Приказ ФСТЭК России от 25.12.2017 N 239 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ»

Требования по безопасной разработке программного обеспечения:

  • наличие руководства по безопасной разработке программного обеспечения;

  • проведение анализа угроз безопасности информации программного обеспечения;

  • наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).

Требования к испытаниям по выявлению уязвимостей в программном обеспечении:

  • проведение статического анализа исходного кода программы;

  • проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;

  • проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).

Требования к поддержке безопасности программного обеспечения:

  • наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;

  • определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;

  • наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).