Как создать систему безопасности значимых объектов КИИ?
Информационная безопасность Информационная безопасность

Как создать систему безопасности значимых объектов КИИ? Кто и как должен взаимодействовать с объектами КИИ? Что включает в себя план организации СБ для значимых объектов?

Главная>Информационная безопасность>X неизвестных в защите критической информационной инфраструктуры
Информационная безопасность Обзор

X неизвестных в защите критической информационной инфраструктуры

Дата публикации:
29.07.2020
Посетителей:
20848
Просмотров:
27837
Время просмотра:
2.3

Авторы

Автор
Виталий Сиянов В прошлом - руководитель направления защиты АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет»

Как создать систему безопасности значимых объектов КИИ?

 

Кто и как должен взаимодействовать с объектами КИИ?

 

Что включает в себя план организации службы безопасности для значимых объектов?

 

 

Прошло уже более 2 лет с момента вступления в силу Федерально­го закона № 187­-ФЗ. Периодиче­ски я встречаюсь с представите­лями компаний — владельцев значимых объектов КИИ по всей стране. И по­прежнему вижу, что лишь немногие из них имеют четкое представление о том, для чего проводится категорирование и ка­кие шаги следует предпринять после него. Чаще всего меня спрашивают: сколько будет стоить «сделать КИИ» под ключ? Мы даем оценку, разъясняя при этом, что можно реа­лизовать «бумажную» безопасность, но луч­ше воспользоваться шансом и выполнить работу, которую стоило сделать уже давно. Например, ФСТЭК России своим Приказом № 31 от 14 марта 2014 г. уже предписал про­вести эти работы, но они воспринимались не как обязательные, а скорее как рекомен­дательные. Тем, кто в свое время реализо­вал требования Приказа, осталось сделать лишь «косметическое» редактирование, до­полнить организационно-­распорядитель­ную документацию (ОРД) и назначить лиц, ответственных за безопасность значимых объектов.

Часто меня спрашивают: сколько будет стоить «сделать КИИ» под ключ? Мы даем оценку, но разъясняем при этом, что можно, конечно, реализовать «бумажную» безопасность, но лучше воспользоваться шансом и выполнить работу, которую стоило сделать уже давно.

В статье мы даем свое видение — как выполнить рекомендации закона № 187-ФЗ.

 

Работы по категорированию можно разде­лить на 2 части: собственно присвоение катего­рии и создание системы безопасности значимых объектов КИИ. Отметим, что хотя эта система создается в первую очередь для защиты значи­мых объектов (то есть имеющих категорию), об остальных активах забывать не стоит. Напри­мер, если у субъекта есть АСУ ТП, не имеющая категории, но подпадающая под определение «критически важный объект» из Приказа № 31 ФСТЭК, она тоже подлежит защите.

 

Если с первой частью все более­-менее по­нятно, то создание системы безопасности вы­зывает недоумение у многих субъектов. Ниже мы разберемся, как ее построить: уточним важные моменты, связанные с реализацией мер защиты, и укажем, на что стоит обратить особое внимание.

 

Система безопасности должна включать 3 блока: силы (под этим термином регулятор имеет в виду людей, далее по статье для упрощения понимания мы будем обозначать их именно так), организационно-­распорядитель­ную документацию и средства защиты инфор­мации (СЗИ).

Система безопасности должна включать 3 блока: силы (регулятор имеет в виду людей), организационно-распорядительную документацию и средства защиты.

No 187-ФЗ от 26.07.2017

 

О безопасности критической информационной инфраструктуры Российской Федерации

 

Статья 4. Принципами обеспечения безопасности критической информационной инфраструктуры являются:

  1. законность;
  2. непрерывность и комплексность обеспечения безопасности критической информационной инфраструкту­ры, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнитель­ ной власти и субъектов критической информационной инфраструктуры;
  3. приоритет предотвращения компьютерных атак.

 

http://www.consultant.ru/document/cons_doc_LAW_220885/

Приказ № 235 ФСТЭК России

 

содержит информацию о том, как должна строиться система безопасности, что должно в нее входить, как нужно организовать работу по защите объектов КИИ и какие документы нужно разработать.

 

Приказ № 239 ФСТЭК России

 

Перечислены меры защиты, которые нужно применять исходя из присвоенной объекту категории.

Люди

 

Главный элемент в системе безопаснос­ти — люди. Именно им предстоит органи­зовать защиту, оформить документы, вне­дрить СЗИ и т.д. Сотрудники делятся на 4 сущности (далее по статье — функциональные роли), у каждой свои задачи и ответ­ственность. При этом только совместные действия всех людей, отвечающих за объект КИИ, помогут максимально эффективно предотвратить угрозы.

Первая функциональная роль — руководитель или назначенное им уполномоченное лицо. Этот человек обязан создать систему безопасности, контроли­ровать ее функционирование и следить за тем, чтобы она постоянно функциони­ровала. Именно он несет ответственность за ее отсутствие или неработоспособность.

 

Его главные задачи — назначить ответ­ственных за 3 другие сущности и убедиться в выполнении требований закона. Если в значимом объекте КИИ или структурных подразделениях произойдут изменения, ру­ководитель также будет отвечать за внесе­ние корректировок в систему безопасности.

Вторая функциональная роль — служба безопасности (СБ). Ее формирует руководитель предприятия. ФСТЭК России отмечает, что это должно быть специально выделенное подразделение, занимающе­еся организацией безопасности объектов КИИ. Создать фиктивную СБ, состоящую из ИТ-­администратора и бухгалтера, вряд ли удастся. При этом руководитель может возложить эти обязанности на уже сущес­твующую службу безопасности.

 

Основные задачи СБ объектов КИИ — формирование и актуализация организа­ционно-распорядительной документации по реализации мер защиты для остальных категорий сотрудников. Это подразделение определяет, как защищаться от актуальных угроз и какие СЗИ применять.

 

Но самое важное — реагирование на компьютерные инциденты. При выяв­лении такого случая СБ должна сообщить о нем в НКЦКИ в течение суток с момента его обнаружения и принять меры по лока­лизации и нейтрализации угрозы, а также минимизации ущерба. Она же будет нести ответственность за попытки замалчивания инцидентов.

Третья роль — подразделения, эксплуатирующие значимые объекты КИИ. Это сотрудники, которые непосредственно взаимодействуют со значимым объектом. На них возлагается обязанность по обеспе­чению безопасности на основании органи­зационно-­распорядительных документов, разработанных СБ. То есть служба безо­пасности передает функции реализации непосредственно подразделениям и специ­алистам, которые работают со значимым объектом. При возникновении инцидента они должны первыми реагировать, руко­водствуясь ОРД, и сообщать о произошед­шем в СБ.

Четвертая роль — сотрудники, обеспечивающие функционирование значимых объектов КИИ. Они взаимо­действуют с объектом только для реали­зации определенных функций. Это могут быть ИТ-­специалисты, обслуживающие информационные системы. Для них, так же как и для подразделений, обеспечи­вающих эксплуатацию, служба безопас­ности разрабатывает ОРД, включающую информацию по работе с объектом КИИ.

Рисунок 1. Сотрудники, взаимодействующие с объектом КИИ, и их задачи

Резюме

 

Субъект должен выделить у себя 4 пе­речисленные категории, назначить ответ­ственных, сформировать подразделения. Основная задача — создание службы безо­пасности значимых объектов. Именно она будет выстраивать систему безопасности. Важно обратить внимание на требования, которые регулятор предъявляет к квали­фикации ИБ-­специалистов, и выполнить их заранее.

 

Без совместной работы всех участников процесса построить рабочую систему безо­пасности не получится. Эксплуатирующие и поддерживающие ее функционирование подразделения должны активно участво­вать в подготовке ОРД. Ведь именно им предстоит выполнять сформированные правила по взаимодействию со значимыми объектами.

На заметку

Если у субъекта еще нет службы безопасности, ее необходимо создать в виде отдельного подразделения, а если она уже есть, нужно наделить ее соответствующими полномочиями. В 2021 г. начнут действовать новые требования для персонала ИБ-подразделений объектов КИИ. Так, руководитель по безопасности, не имеющий профильного образования и как минимум 3-летнего стажа работы в сфере ИБ, должен будет пройти курс профессиональной переподготовки (не менее 360 часов). Рядовым специалистам при отсутствии профильного образования будет необходимо пройти курс повышения квалификации (не менее 72 часов). Следует заранее позаботиться о том, чтобы сотрудники, не имеющие нужной квалификации, приобрели ее к указанному сроку, и документально зафиксировать этот факт.

Документы

 

После того как субъект выделит лю­дей, работающих со значимыми объек­тами, ему следует определиться с ОРД. Если посмотреть на таблицу из Прика­за № 239 ФСТЭК России, то мы увидим, что каждая группа требований начина­ется с нулевого пункта. Например, груп­па «VI. Антивирусная защита» содержит меру «АВЗ.0 — Регламентация правил и процедур антивирусной защиты». Сле­довательно, если для владельца значи­мого объекта положения этой группы применимы, ему стоит позаботиться о принятии документа, регламентиру­ющего требования к антивирусной защи­те, соответствующие мероприятия и т.д.

Таблица из Приказа № 239 разбита на 17 групп, к каждой из них нужно раз­работать новые или актуализировать действующие регламенты. Либо нужно создать документ «Политика ИБ значи­мых объектов КИИ» и добавить в него со­ответствующие разделы. Надо отметить, что 17 групп применимы только к объ­ектам 1-­й и 2-­й категорий значимости. Для 3­-й категории исключаются группы III «Ограничение программной среды» и VII «Средство обнаружения вторжения». Но остальные 15 групп необходимо рас­смотреть, выделить те, что применимы к объекту КИИ и соответствуют вашим моделям угроз и нарушителей, и присту­пить к их разработке.

Иерархическая структура необходи­мых документов представлена в табл. 1.

 

В качестве примера в табл. 2 представ­лен минимальный набор регламентов, которые мы готовим для заказчиков в рамках построения системы безопас­ности для объектов 3­-й категории зна­чимости.

Таблица 1. Иерархия организационно-распорядительной документации значимых объектов КИИ
ДокументЧто описывает
Политика информационной безопасности значимых объектов критической информационной инфраструктуры
  • Цели и задачи информационной безопасности
  • Модель нарушителя
  • Модель угроз
  • Структура системы безопасности субъекта
  • Проводимые мероприятия и т.д.
Регламенты и положения
  • Функции участников и распределение зон ответственности
  • Реализация мер информационной безопасности
  • Порядок реагирования
  • Информирование и обучение персонала
Журналы, реестры, инструкции
  • Правила и процедуры работы со значимым объектом КИИ
  • Действия при компьютерных инцидентах
Таблица 2. Пример организационно-распорядительной документации для ЗОКИИ 3-й категории
№ п/пДокументТребования
1Политика информационной безопасности значимых объектов критической информационной инфраструктуры17 групп Приказа No 239 ФСТЭК
Требования Приказа No 235 ФСТЭК
2Регламент по защите ОКИИТребования Приказа No 235 ФСТЭК: планирование, реализация, аудит, развитие
Требования Приказа No 239 ФСТЭК:
I. Идентификация и аутентификация (ИАФ)
II. Управление доступом (УПД)
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
XIV. Управление обновлениями программного обеспечения (ОПО)
XV. Планирование мероприятий по обеспечению безопасности (ПЛН)
3Регламент учета машинных носителей информации и правил их использованияXI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
4Регламент физического доступа в серверные помещенияIV. Защита машинных носителей информации (ЗНИ)
X. Защита технических средств и систем (ЗТС)
5Регламент по антивирусной защитеVI. Антивирусная защита (АВЗ)
6Регламент по обеспечению сетевой безопасностиXV. Планирование мероприятий по обеспечению безопасности (ПЛН)
7Регламент по внутренним проверкам ИБV. Аудит безопасности (АУД)
8Регламент резервного копированияIX. Обеспечение доступности (ОДТ)
9Регламент управления инцидентами ИБXII. Реагирование на компьютерные инциденты (ИНЦ)
10Регламент по управлению уязвимостямиXII. Реагирование на компьютерные инциденты (ИНЦ)
11Регламент по управлению изменениями конфигураций ИСVIII. Обеспечение целостности (ОЦЛ)
XIII. Управление конфигурацией (УКФ)
12Политика осведомленности и обучения персонала в области ИБXVII. Информирование и обучение персонала (ИПО)
13Политика обеспечения действий в нештатных ситуацияхXVI. Обеспечение действий в нештатных ситуациях (ДНС)

Указанные в таблице документы в большинстве случаев уже есть в ком­паниях. Задача тех, кто создает систему безопасности, — проверить, все ли требо­вания регулятора они охватывают. То есть нужно провести аудит документации и добавить недостающие положения.

 

К этому этапу стоит отнестись так же серьезно, как и к выделению людей, ответственных за реализацию ИБ. В наших проектах мы всегда проводим ау­дит и общаемся с теми, кому предстоит выполнять правила из сформированной документации. Крайне важно грамотно распределить ответственность между подразделениями.

Именно сотрудники, отвечающие за эксплуатацию и поддержание функ­ционирования объектов КИИ, становятся звеном, от которого зависит безопасность. Ведь они непосредственно работают с объ­ектом и могут воздействовать на него. Они со своей стороны должны детально проработать организационно­распоряди­тельную документацию. Ведь после того, как служба безопасности все подготовит, отвечать за инциденты будут именно вы­шеозначенные подразделения. И скорее всего, именно в этой части возникнут са­мые большие сложности, так как люди, от­вечающие за функционирование объекта, должны будут дополнительно выполнять работу по информационной безопаснос­ти, которую им поручит СБ. Мы считаем, что подробное распределение зон ответ­ственности и описание требований к со­трудникам в политиках и регламентах будут способствовать пониманию задач всеми экспертами, участвующими в обес­печении ИБ.

В наших проектах мы всегда проводим аудит и общаемся с теми, кому предстоит выполнять правила из организационно-распорядительной документации.

Резюме

 

ОРД — ответственный этап построения системы безопасности. Именно от того, как составлены документы, зависит, кто и как будет минимизировать последствия при компьютерных атаках. Очень важно правильно сформировать подразделе­ния, отвечающие за эксплуатацию и под­держание функциональности значимых объектов КИИ, снабдить их регламентами и инструкциями, а также периодически проводить учения для выявления про­белов в знаниях.

 

Что касается структуры документов: в начале описывается политика инфор­мационной безопасности (ее общие положения), затем идут регламенты и поло­жения, а на нижнем уровне — журналы, реестры и инструкции. Все документы должны быть утверждены руководителем субъекта и актуализироваться службой безопасности.

Средства защиты информации (СЗИ)

 

Чаще всего у нас спрашивают: нужно ли ис­пользовать только те средства защиты, кото­рые прошли сертификацию во ФСТЭК? Пункт 28 Приказа № 239 говорит о том, что вы можете применять инструменты ИБ, сертифициро­ванные регулятором, но не обязательно толь­ко их. Для использования средств защиты, не прошедших сертификацию, необходимо провести их испытания и приемку. Они долж­ны доказать, что, например, антивирус выпол­няет заявленный функционал и соответствует требованиям Приказа № 239. Для объектов 3­-й категории должны быть проведены следую­щие приемо-­сдаточные испытания: «АВЗ.2 – Антивирусная защита электронной почты и иных сервисов», «АВЗ.4 – Обновление базы данных признаков вредоносных компьютер­ных программ (вирусов)», «АВЗ.1 – Реализация антивирусной защиты».

Проблема с несертифицированным анти­вирусом особенно актуальна для промышлен­ных предприятий, использующих импортное оборудование. Зачастую его производители крайне негативно относятся к применению СЗИ, не прошедших испытания в их лабораториях, и рекомендуют только одобренные ими про­дукты. При исполнении гарантийных обяза­тельств в случае неисправности оборудования они в первую очередь проверяют, не вмеши­вался ли эксплуатант в его работу и не уста­навливал ли он нерекомендуемое ПО. При вы­ явлении попыток вмешательства вендор АСУ ТП просто снимает оборудование с гарантии. Поэтому мы постоянно видим на промышлен­ных предприятиях несертифицированные регулятором средства защиты.

Также субъектов волнует, какие именно средства защиты нужно внедрить для вы­полнения требований регулятора. Ответить однозначно не сможет никто. Во­-первых, кате­горируются 3 разные сущности: информацион­ные системы, информационно-телекоммуни­кационные сети и АСУ ТП. Для каждой из них есть свои рекомендованные СЗИ. Во­-вторых, выполнение более половины требований Приказа No 239 обеспечивается встроенными возможностями. В­-третьих, всегда нужно все­сторонне оценивать существующие средства защиты, особенно для АСУ ТП.

В качестве примера рассмотрим субъект с АСУ ТП, которая ранее не защищалась, а сей­час ей присвоена 3-­я категория значимости. Мы предлагаем обратить внимание на сред­ства защиты из табл. 3. Мы всегда предостав­ляем на выбор решения нескольких вендоров, а если возможно, то и несколько вариантов от выбранного производителя. Например, если субъект хочет установить межсетевой экран, мы предложим продукты как минимум 3 про­изводителей, а затем варианты из модельного ряда, представленного в России.

Таблица 3. Производители и средства защиты АСУ ТП 3-й категории ЗОКИИ
Контроль доступа
Dallas Lock

Secret Net, ПАК «Соболь
Межсетевое экранирование
USG

FortiGate

ARMA
Анализ защищенности
MaxPatrol 8, XSpider

Nexpose

Nessus
Антивирусная защита
KICS for Nodes, KES
Мониторинг безопасности
FortiSIEM

MaxPatrol SIEM

ArcSight

QRadar SIEM
Реализация защищенного удаленного доступа
ViPNet

«Квазар»

«АПКШ Континент», «TLS Континент»
Централизованное управление ИБ
Resilient Incident Response Platform

SOC 3D

Перед приобретением средств защиты мы рекомендуем провести аудит ИБ субъек­та (или непосредственно значимого объекта). Необходимо проанализировать имеющиеся СЗИ и определить, какие требования Прика­за № 239 будут выполняться встроенными средствами защиты, а для каких потребует­ся приобретение дополнительных.

 

Также стоит отметить требование ре­гулятора к наличию гарантийной и (или) технической поддержки установленных средств защиты (пункт 31 Приказа № 239). Мы же часто видим АСУ ТП, которые были внедрены более 15 или даже 20 лет назад, и зачастую на автоматизированных рабо­чих местах либо вообще не установлены средства защиты, либо установлены старые версии ОС — Windows Vista или XP, которые не поддерживаются даже производителями антивирусов.

Резюме

 

При построении системы безопаснос­ти необходимо уделить большое внима­ние выбору СЗИ. При этом не стоит забы­вать о том, что большинство требований, представленных в Приказе № 239, можно выполнить, применяя встроенные воз­можности и используя ОРД. Конечно, не обойтись без антивируса, защиты удаленного доступа и других средств, но вопрос приобретения необходимого ПО и оборудования должен решаться уже после реализации 2 предыдущих этапов — выделения сил (ответственных сотрудников) и актуализации ОРД.

Информационная безопасность — это процесс

 

Главная мысль регулятора, проходящая красной нитью по всему тексту Приказа № 239, заключается в том, что категориро­вание и создание системы безопасности — это не разовый проект, а процесс. Он не мо­жет прекратиться. Этот процесс цикличен, мероприятия повторяются из года в год. У каких­-то из них будет 3-­летний цикл (например, проверки, проводимые комиссией).

 

Если субъект считает, что, закупив сред­ства защиты и создав на бумаге систему безопасности, сможет продемонстриро­вать выполнение требований регулятора во время проверки ФСТЭК, то он глубоко заблуждается. Мало организовать и провес­ти комплекс мероприятий — все функции защиты нужно поддерживать в актуальном состоянии, проводить обучение персонала, обновлять СЗИ и т.д.

Если проиллюстрировать требования 2 основных Приказов, у нас получится 2 блока работ: 1) процесс построения сис­темы безопасности; 2) внедрение ОРД и средств защиты. Процесс всегда будет выглядеть одинаково и состоять из 4 эле­ментов: планирование, реализация, мо­ниторинг и контроль (аудит), развитие (совершенствование) (см. рис. 2).

Рисунок 2. Система безопасности субъекта

Часть этих требований содержится в обоих приказах. Например, планирование является одной из групп Приказа № 239 (XV. Планирование мероприятий по обеспечению безопасности), а в Приказе № 235 (п. 29) уточняется: «В рамках плани­рования мероприятий... осуществляются разработка и утверждение ежегодного плана мероприятий».

 

Под реализацией стоит понимать внедрение средств защиты и действия сотрудников. В качестве примера мож­но привести группу «XII. Реагирование на компьютерные инциденты (ИНЦ)». Рассматривая содержащиеся в ней меры, мы видим, что они начинаются с выявления компьютерных инцидентов и заканчива­ются предотвращением повторных случа­ев. Таким образом, служба безопасности объектов КИИ на основе модели наруши­теля должна предусмотреть действия зло­умышленников и определить, как долж­ны реагировать на это эксплуатирующие подразделения.

Мало организовать и провести комплекс мероприятий — все функции защиты нужно поддерживать в актуальном состоянии, обучать персонал, обновлять СЗИ.

Вместо «мониторинга» регулятор использует 2 слова: контроль и аудит. Контроль — прерогатива службы безо­пасности, которая должна следить за дей­ствиями подразделений, связанных со значимыми объектами. Также на СБ воз­ложена ответственность за выполнение запланированных мероприятий. При этом Приказ № 235 возлагает контроль за состоянием ИБ субъекта на комиссию, включаю­щую представителей всех подразделений, участвующих в системе безопасности, — от службы безопасности до структур, обес­печивающих функционирование значи­мых объектов. Для более качественной оценки можно заменить проверку внут­ренней комиссией на внешний аудит. Выявленные недостатки в любом случае должны быть устранены.

Эта обязанность ложится на плечи службы безопасности. Она должна запу­стить новый цикл — планирование меро­приятий, реализация и контроль исполне­ния — на основе полученных замечаний.

 

По замыслу ФСТЭК, эта последова­тельность мероприятий может быть прекращена только после вывода значи­мого объекта из эксплуатации. Поэтому мы настоятельно советуем серьезно от­ нестись к положениям Закона № 187-­ФЗ и реализовать его требования.

 

Для упрощения выполнения этой мас­штабной задачи мы публикуем план соз­дания службы безопасности для значимых объектов КИИ (см. табл. 4).

Таблица 4. План организации СБ для значимых объектов КИИ
1. Аудит системы безопасности ЗОКИИ
Состав работРезультат работ
  • Изучение формы категорирования (Приказ № 236 ФСТЭК), поданной регулятору
  • Cоставление опросных листов и их заполнение ответ­ственными лицами (сотрудники, отвечающие за информационную и физическую безопасность, подразделения, эксплуатирующие и поддерживающие функционирование объектов КИИ)
  • Проверка данных из опросных листов
  • Анализ ОРД по информационной безопасности: политика ИБ, регламенты, инструкции
  • Формирование структуры объектов КИИ
  • Анализ и корректировка модели угроз и модели нарушителя

 

• Приказ ФСТЭК России No 235, п. 36

• Приказ ФСТЭК России No 239
• No 239, V. Аудит безопасности (АУД)

  • Уточнение модели угроз и модели нарушителя
  • Cхемы и описания значимых объектов КИИ с указанием сущес­твенных характеристик безопасности, внешних и внутренних информационных потоков значимых объектов КИИ, необходи­мых для построения системы безопасности
  • Cхемы и описание существующей системы защиты информации значимых объектов КИИ
  • Cостав и существенные для решения задач проекта характеристи­ ки встроенных в значимые объекты КИИ механизмов защиты
  • Cостав реализованных организационных мер защиты инфор­мации в соответствии с требованиями Приказов ФСТЭК России № 239 и № 235
  • Состав и существенные для решения задач проекта характеристи­ ки дополнительных средств защиты информации, используемых на значимых объектах КИИ
2. Разработка комплекта ОРД
Состав работРезультат работ
  • Корректировка и (или) разработка ОРД

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• Приказы ФСТЭК России № 239 (требования к ОРД) и № 235 (требования к системе безопасности)

  Комплект проектов внутренних нормативных документов в составе:

  • Политика ИБ
  • Регламент управления доступом
  • Положение о защите объектов КИИ (включающее ограничение программной среды, аудит безопасности, планирование меро- приятий по обеспечению защиты информации)
  • Регламент учета машинных носителей информации и правил их использования
  • Регламент физического доступа в серверные помещения
  • Политика антивирусной защиты
  • Положение по обеспечению сетевой безопасности
  • Положение о внутренних проверках ИБ
  • Регламент резервного копирования
  • Регламент управления инцидентами ИБ
  • Регламент по управлению уязвимостями
  • Положение об управлении изменениями конфигураций И
  • Политика осведомленности и обучения персонала в области ИБ
  • Политика обеспечения действий в нештатных ситуациях
3. Формирование системы безопасности субъекта
Состав работРезультат работ
  • Выделение ответственных (руководитель, служба безопасности, эксплуатирующие подразделения, подразделения, обеспечивающие функционирование ЗОКИИ)

 • Приказ ФСТЭК России No 235 (требования к организации СБ для ЗОКИИ)

  • Приказ (распоряжение) о внедрении организационных мер по обеспечению безопасности значимого объекта КИИ
  • Регламент функционирования системы безопасности субъекта
  • Приказы о выделении сотрудников, ответственных за эксплуата­ цию и поддержание функционирования значимого объекта КИИ
4. Проектирование
Состав работРезультат работ
  • Составление технического проекта и технического задания системы безопасности
  • Техническое задание на создание системы безопасности
  • Технический проект системы безопасности:
    • Пояснительная записка к техническому проекту
    • Структурная схема
    • Ведомость покупных изделий
    • Описание настроек средств защиты информации
    • Программа и методика испытаний
  • Технико­-экономическое обоснование
5. Внедрение средств защиты информации
Состав работРезультат работ
  • Закупка СрЗИ
  • Внедрение и настройка СрЗИ
  • Приемо-сдаточные испытания СрЗИ

• Приказ ФСТЭК России No 239 (требования по СрЗИ)
  • Акт сдачи­-приемки оборудования в монтаж
  • Протокол предварительных испытаний
  • Акт о вводе системы в опытную эксплуатацию
  • Журнал опытной эксплуатации
  • Протокол приемочных испытаний
6. Подключение к ГосСОПКА
Состав работ
  • Определение необходимых организационных и технических мер для подключения к ГосСОПКА
  • Определение подразделений и должностных лиц, ответственных за взаимодействие с НКЦКИ
  • Проектирование и внедрение необходимых средств ГосСОПКА
  • Разработка ОРД и регламентов
  • Подключение к технической инфраструктуре НКЦКИ
  • Выполнение функций мониторинга и реагирования на инциденты ИБ
  • Выполнение функций по информационному взаимодействию с НКЦКИ (предоставление информации об инцидентах, о защищенности ИС, обработка сообщений от главного центра ГосСОПКА)

 

• Закон No 187-ФЗ, ст. 9, п. 2

Уведомления об обновлении тем – в вашей почте

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

Топ вопросов по ИБ АСУ ТП

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК «Газпром нефть»)

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

ИБ АСУ ТП по принципу Парето

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня