ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 01.12.2023
Просмотров: 37
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Требования к организационно-распорядительным документам по безопасности значимого объекта КИИ
ОР
Д
Состав и формы
определяются
субъектом
Утверждает
руководитель
Должны определять
Цели и задачи, основные угрозы и категории нарушителей, основные
организационные и технические мероприятия, состав и структуру СБ и
функции ее участников, порядок применения, формы оценки
соответствия объектов и СЗИ требованиям по безопасности (концепция,
положение по ОБ КИИ, политика ОБ КИИ и т.п.)
Планы мероприятий по обеспечению безопасности КИИ
Модели угроз
Порядок реализации отдельных мер
Порядок проведения испытаний или приемки СЗИ
Порядок реагирования на инциденты
Порядок информирования и обучения работников
Порядок взаимодействия подразделений
Порядок взаимодействия с ГосСОПКА
Правила безопасной работы и действия при
возникновении нештатных ситуаций
Доведены до
руководства и
ответственных лиц
21
Требования к функционированию системы безопасности
Проц ес сы
Планирование и
разработка мероприятий
Ежегодный
план
мероприятий
Разрабатывается подразделением по ОБ и
утверждается руководителем
Содержит наименования мероприятий, сроки
исполнения, ответственных
Мероприятия по обеспечению функционирования
СБ, организационные и технические мероприятия
по ОБ объектов КИИ
Реализация (внедрение)
мероприятий
Принимаются организационные и технические меры
Результаты документируются
Контроль состояния
безопасности
Ежегодный контроль
Внутренний (комиссия) или внешний (лицензиат)
Результаты документируются актом
Замечания устраняются в порядки и сроки, установленные
руководителем субъекта
Совершенствование
безопасности
Анализ функционирования СБ и состояния безопасности
Разработка предложений по развитию СБ и мер по
совершенствованию безопасности объектов КИИ
Цикл Шухарта-Деминга (PDCA)
22
Особенности реализации требований по обеспечению безопасности значимых объектов КИИ
Обеспечение безопасности значимых объектов, в которых обрабатывается информация, составляющая государственную тайну
Законодательство РФ о государственной тайне
Обеспечение безопасности иных значимых объектов -
Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры
Российской Федерации»
(
проходит регистрацию
)
ГИС
Требования о защите информации, не
составляющей государственную тайну,
содержащейся в государственных
информационных системах,
утвержденными приказом ФСТЭК России от
11
февраля 2013 г. № 17
ИСПД
Требованиями к защите персональных
данных при их обработке в
информационных системах персональных
данных, утвержденными постановлением
Правительства Российской Федерации от 1
ноября 2012 г. № 1119
ИТКС
Нормативные правовые акты Минкомсвязи
России
23
Особенности обеспечения безопасности объектов
КИИ
Анализ уязвимостей:
- на этапе ввода в эксплуатацию при анализе уязвимостей осуществляется в т.ч. тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации
- допускается проведение анализа уязвимостей на макете (тестовая зона, виртуальная среда).
Форма оценки значимых объектов:
-
Аттестация (ГИС или иные случаи в соответствии с законодательством или по решению субъекта)
-
Приемочные испытания - комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие значимого объекта и его подсистемы безопасности требованиям, а также ТЗ
24
Не допускаются(!):
наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам зашиты информации, для обновления или управления со стороны лиц, не
являющихся работниками субъекта
Мероприятия по обеспечению безопасности на стадиях жизненного цикла объектов КИИ
Задание требований к обеспечению безопасности
Разработка организационных и технических мер
Внедрение организационных и технических мер
Обеспечение безопасности значимого объекта в ходе его эксплуатации
Обеспечение безопасности значимого объекта при выводе его из эксплуатации
25
Организационные и технические меры
1)
идентификация и аутентификация (ИАФ);
2)
управление доступом (УПД);
3)
ограничение программной среды (ОПС);
4)
защита машинных носителей информации (ЗНИ);
5)
аудит безопасности (АУД) – новая группа мер;
6)
антивирусная защита (АВЗ);
7)
предотвращение вторжений (компьютерных атак) (СОВ);
8)
обеспечение целостности (ОЦЛ);
9)
обеспечение доступности (ОДТ);
10)
защита технических средств и систем (ЗТС);
11)
защита информационной (автоматизированной) системы и ее компонентов
(ЗИС);
12)
планирование мероприятий по обеспечению безопасности (ПЛН);
13)
управление конфигурацией (УКФ);
14)
управление обновлениями программного обеспечения (ОПО);
15)
реагирование на инциденты информационной безопасности (ИНЦ);
16)
обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС);
17)
информирование и обучение персонала (ИПО).
Нет АНЗ, ЗСВ, РСБ.
26
Государственный контроль
Плановый
Истечение 3 лет со дня
внесения сведений об
объекте КИИ в Реестр
Истечение 3 лет со дня
осуществления последней
плановой проверки
Внеплановый
Истечение срока выполнения субъектом КИИ
предписания об устранении выявленного
нарушения
Возникновение компьютерного инцидента,
повлекшего негативные последствия
Поручение Президента Российской Федерации или
Правительства Российской Федерации либо на
основании требования прокурора
Порядок осуществления государственного контроля в области обеспечения
безопасности значимых объектов КИИ (ПП РФ от 17 февраля 2018 г. № 162);
27
Ответственность за нарушения
Статья 274.1. УК: Неправомерное воздействие на критическую информационную
инфраструктуру Российской Федерации
Нарушение
Ответственность
Создание, распространение и (или) использование
компьютерных программ либо иной компьютерной
информации, заведомо предназначенных для
неправомерного воздействия на КИИ
принудительные работы до 5 лет /
лишение
свободы до 5 лет
/ штраф до 1 млн руб
Неправомерный доступ к охраняемой компьютерной
информации, содержащейся в критической информационной
инфраструктуре Российской Федерации
принудительные работы до 5 лет /
лишение
свободы до 6 лет
/ штраф до 1 млн руб
Нарушение правил эксплуатации средств хранения,
обработки или передачи охраняемой компьютерной
информации, содержащейся в КИИ, или объектов КИИ, либо
правил доступа к указанным информации, объектам КИИ,
если оно повлекло причинение вреда КИИ
принудительные работы до 5 лет /
лишение
свободы до 6 лет
/ запрет занимать должности до 3 лет
Все вышеперечисленное по предварительному сговору или
организованной группой, или лицом с использованием
своего служебного положения
лишение свободы на срок от 3 до 8 лет
/ лишение права занимать должности до 3 лет.
Если повлекли тяжкие последствия
лишение свободы на срок от 5 до 10 лет
/ лишение права занимать должности до 5 лет
28
Ответственность за нарушения
Статья 19.5. ч.1. Кодекс РФ об административных правонарушениях
Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего госнадзор (контроль) […] об устранении нарушений законодательства влечет наложение административного штрафа:
• на граждан в размере от 300 до 500 руб.
• на должностных лиц - от 1 000 до 2 000 руб. или дисквалификацию на срок до 3 лет
• на юрлиц - от 10 000 до 20 000 руб.
29
Спасибо за внимание!
ООО «Радиоэлектронные системы»
Белогородский Алексей Юрьевич, ктн
Заместитель руководителя ОСП в г. Ханты-Мансийске
+7 909 037 65 75
302@irsural.ru