Файл: Управления, как правило, имеет многоуровневую структуру.docx

Оглавление

1. Структура АСУ. Состав. Объекты защиты в АСУ

Автоматизированная система управления, как правило, имеет многоуровневую структуру:

• 
  уровень операторского (диспетчерского) управления (верхний уровень):
  

• 
  операторские (диспетчерские), инженерные автоматизированные рабочие места,
  
• 
  промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением,
  
• 
  телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование),
  
• 
  каналы связи;
  

• 
  уровень автоматического управления (средний уровень):
  

• 
  ПЛК (программируемые логические контроллеры),
  
• 
  иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств,
  
• 
  промышленная сеть передачи данных;
  

• 
  уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень):
  

• 
  иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.
  

Объекты защиты в автоматизированной системе управления:

• 
  информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация,
  
• 
  управляющая (командная) информация,
  
• 
  контрольно-измерительная информация,
  
• 
  иная критически важная (технологическая) информация);
  
• 
  программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства),
  
• 
  программное обеспечение (в том числе микропрограммное, общесистемное, прикладное),
  
• 
  средства защиты информации.
  

2. Определение класса защищенности информационной системы

---

Приказ ФСТЭК России N 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]

степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

• 
  высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
  
• 
  средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
  
• 
  низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
  

---

Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

Класс защищенности информационной системы определяется в соответствии с таблицей

Уровень значимости информации	Масштаб информационной системы
	Федеральный	Региональный	Объектовый
УЗ 1	К1	К1	К1
УЗ 2	К1	К2	К2
УЗ 3	К2	К3	К3

При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации.

Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

3.   1   2   3   4   5   6   7   8   9   ...   13

---

Проектирование системы защиты информации

Проектирование системы защиты информации — это разработка комплекса мероприятий, направленных на защиту информации от незаконного доступа или утечки.

• 
  Определение требований и анализ уязвимостей
  

• 
  Идентификация активов информации, которые нужно защищать.
  
• 
  Оценка рисков и угроз, связанных с этими активами.
  
• 
  Анализ существующих уязвимостей и установка приоритетов для их устранения.
  

• 
  Разработка стратегии защиты информации
  

• 
  Определение целей и области применения системы защиты информации.
  
• 
  Выбор соответствующих контролов безопасности и технических решений для устранения уязвимостей и снижения рисков.
  
• 
  Разработка архитектуры системы защиты информации, включая физические, логические и сетевые компоненты.
  

• 
  Разработка политик и процедур безопасности
  

• 
  Создание политик безопасности, определяющих правила и руководства для обеспечения безопасности информации.
  
• 
  Разработка процедур безопасности, включающих действия и инструкции для пользователей и администраторов системы.
  

• 
  Реализация и интеграция
  

• 
  Реализация выбранных защитных мер и мер безопасности в систему
  
• 
  Интеграция системы защиты информации с существующими компонентами информационной инфраструктуры.
  
• 
  Проведение тестирования и проверки работоспособности системы защиты информации.
  

• 
  Обучение и осведомление пользователей
  

• 
  Проведение обучения пользователей относительно политик и процедур безопасности.
  
• 
  Предоставление информации о текущих угрозах и методах предотвращения инцидентов безопасности.
  

• 
  Оценка и обновление
  

• 
  Проведение периодической оценки эффективности системы защиты информации и выявление слабых мест.
  
• 
  Обновление и модернизация системы защиты информации в соответствии с новыми требованиями и угрозами.
  

4. Аттестация информационной системы (исходные данные, методы проверок)

Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям.

---

Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.

В качестве исходных данных, необходимых для аттестации информационной системы, используются:

• 
  модель угроз безопасности информации,
  
• 
  акт классификации информационной системы,
  
• 
  техническое задание на создание информационной системы и (или)техническое задание (частное техническое задание) на создание системы защиты информации информационной системы,
  
• 
  проектная и эксплуатационная документация на систему защиты информации информационной системы,
  
• 
  организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы,
  
• 
  материалы предварительных и приемочных испытаний системы защиты
  
• 
  информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.
  

Методы проверок (испытаний):

• 
  экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;
  
• 
  анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
  
• 
  испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обходе системы защиты информации.
  

По результатам аттестационных испытаний оформляются:

• 
  протоколы аттестационных испытаний,
  
• 
  заключение о соответствии информационной системы требованиям о защите информации
  
• 
  аттестат соответствия в случае положительных результатов аттестационных испытаний.
  

---