Требования к системе безопасности значимого объекта критической информационной

Александрович
начальник отдела аттестации
Главного управления информационных технологий и связи Омской

значимых объектов критической информационной инфраструктуры Российской Федерации
(Приказ ФСТЭК России

Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
(Приказ ФСТЭК России от 22 декабря 2017 года № 236)

Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры и обеспечению их функционирования
(Приказ ФСТЭК России от 21 декабря 2017 года № 235)

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
(Приказ ФСТЭК России от 25 декабря 2017 года № 239)

Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
(Приказ ФСТЭК России от 11 декабря 2017 г. № 229)

обеспечение безопасности значимых объектов КИИ или назначает отдельных работников
Определяет состав

Создает систему безопасности значимого объекта КИИ, организует и контролирует ее функционирование

совершенствованию организационно-распорядительных документов по безопасности значимых объектов КИИ и представлять

проводит анализ угроз безопасности информации в отношении значимых объектов КИИ и выявлять уязвимости в них

обеспечивает реализацию требований по обеспечению безопасности значимых объектов КИИ;

КИИ требованиям по безопасности;
готовит предложения по совершенствованию функционирования систем

обеспечивает в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

пользователей объекта КИИ
Обязанности, возлагаемые на работников, должны быть определены в

Координацию и контроль деятельности работников осуществляют структурное подразделение по безопасности, специалисты по безопасности

тайну
Законодательство РФ
о государственной тайне

Обеспечение безопасности значимых объектов, являющихся государственными

Обеспечения безопасности значимых объектов, являющихся информационно-телекоммуникационными сетями

Обеспечение безопасности значимых объектов, являющихся информационными системами персональных данных

Обеспечение безопасности значимых объектов, являющихся автоматизированными системами управления производственными и технологическими процессами

Требования
по обеспечению безопасности значимых объектов

Приказ ФСТЭК России от 11 февраля 2013 г. № 17

Постановление Правительства РФ
от 1 ноября 2012 г.
№ 1119

Нормативные правовые акты Минкомсвязи России

информации и разработку модели угроз безопасности информации или ее уточнение

проектирование подсистемы безопасности значимого объекта КИИ;

разработка рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности). 

информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;

анализ возможных

определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;

оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

информации
(bdu.fstec.ru)
Базовая модель угроз безопасности персональных данных при их обработке в

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

КИИ - ИСПДн

утвержденная ФСТЭК России от 2007г.
Методика определения актуальных угроз безопасности информации

Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339

Проект Методического документа ФСТЭК России от 2015 г.
«Методика определения угроз безопасности информации в информационных системах»

нарушителя
3) характеристику источников угроз безопасности информации, в том числе модель

Содержание частной модели угроз безопасности информации

Описание каждой угрозы безопасности информации должно включать:
1) источник угрозы безопасности информации;
2) уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
3) возможные способы (сценарии) реализации угрозы безопасности информации;
4) возможные последствия от угрозы безопасности информации

и аутентификация
Управление доступом
Ограничение программной среды
Защита машинных носителей информации
Антивирусная защита
Предотвращение вторжений

Обеспечение целостности

Обеспечение доступности

Защита технических средств и систем

Защита информационной (автоматизированной) системы (сети) и ее компонентов

Приказ ФСТЭК России от 11 февраля 2013 г. № 17,
Приказ ФСТЭК от 18 февраля 2013 г. России № 21

Аудит безопасности

Реагирование на инциденты
информационной безопасности

Управление конфигурацией

Управление обновлениями программного
обеспечения

Планирование мероприятий по обеспечению
безопасности

Обеспечение действий в нештатных
(непредвиденных) ситуациях

Информирование и обучение персонала

основе категории значимости значимого объекта КИИ
Адаптация базового набора мер с

С учетом требований, установленных иными нормативными правовыми актами в области:
обеспечения безопасности КИИ;
защиты информации

Базовый набор мер

Адаптированный базовый набор мер

Дополнение адаптированного базового набора мер

Компенсирующие меры
(меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта КИИ)

Меры по обеспечению безопасности

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 31

Меры защиты в Приказе ФСТЭК России №

Меры защиты в Приказе ФСТЭК России № 31

Приказе ФСТЭК России № 17, Приказе ФСТЭК России № 21,

Приказе ФСТЭК России № 17, Приказе ФСТЭК России № 21,

России № 21,
Приказе ФСТЭК России № 31
Меры защиты в

России № 31
Меры защиты в Приказе ФСТЭК России №

России № 31
Меры защиты в Приказе ФСТЭК России №

КИИ
Классы СЗИ в КИИ
В значимых объектах КИИ 1, 2, и

и настройка средств защиты информации.
Разработка документов по безопасности.
Внедрение организационных мер.
Предварительные

Опытная эксплуатация.

Выявление уязвимостей.

Приемочные испытания.

Этапы работ:
(приказ № 239 от 25.12.2017)

187–ФЗ и принятых в соответствии с ним НПА
ФСТЭК России
Государственный контроль

ПЛАНОВАЯ ПРОВЕРКА

истечение 3-х лет со дня внесения сведений об объекте КИИ в реестр значимых объектов КИИ

истечение 3-х лет со дня окончания осуществления последней плановой проверки в отношении значимого объекта КИИ

ВНЕПЛАНОВАЯ ПРОВЕРКА

истечение срока выполнения субъектом КИИ предписания об устранении выявленного нарушения

возникновение компьютерного инцидента, повлекшего негативные последствия

приказ директора ФСТЭК России
на основании:
поручения Президента РФ;
поручения Правительства РФ;
требования прокурора.

аттестации
Главного управления информационных технологий и связи Омской области