Выступление заместителя руководителя ... · 2018-05-29 · АСУ ТП 1 АСУ ТП 2 (знач.) … АСУ ТП l ИТКС 1 (знач.) ИТКС

Реализация Федерального закона

от 26 июля 2017 года № 187-ФЗ

«О безопасности критической информационной

инфраструктуры Российской Федерации»

Выступление

заместителя руководителя Управления ФСТЭК России

по Приволжскому федеральному округу

ХАЧИНЯНА Владимира Спартаковича

Федеральный закон от 26 июля 2017 года № 187-ФЗ

«О безопасности критической информационной инфраструктуры

Российской Федерации»

Государственные

органы

Государственные

учреждения

Российские

юридические

лица

Индивидуальные

предприниматели

Субъекты КИИ

которым на праве собственности, аренды или на ином законном

основании принадлежат объекты КИИ принадлежат

ИС ИТКС АСУ

функционирующие в сфере

здравоохранения, науки, транспорта, связи, энергетики, банковской сфере

и иных сферах финансового рынка, топливно-энергетического комплекса,

атомной энергии, оборонной, ракетно-космической, горнодобывающей,

металлургической, химической промышленности

функционирующие в области

2

федеральный орган исполнительной

власти, уполномоченный в области

обеспечения безопасности

критической информационной

инфраструктуры

Российской Федерации

Уполномоченные

федеральные органы исполнительной власти

федеральный орган исполнительной

власти, уполномоченный в области

обеспечения функционирования

государственной системы

обнаружения, предупреждения

и ликвидации последствий

компьютерных атак

на информационные ресурсы


3

ФСТЭК России

Указ Президента


от 25 ноября 2017 г. № 569

«О внесении изменений

в Положение о Федеральной службе по

техническому и экспортному контролю,

утвержденное Указом Президента

Российской от 16 августа 2004 г. № 1085»

Указ Президента


от 22 декабря 2017 г. № 620

«О совершенствовании государственной

системы обнаружения, предупреждения

и ликвидации последствий компьютерных

атак на информационные ресурсы


ФСБ России

Постановление Правительства Российской Федерации

от 8 февраля 2018 г. № 127

«Об утверждении Правил категорирования объектов критической информационной

инфраструктуры Российской Федерации, а также перечня показателей критериев

значимости объектов критической информационной инфраструктуры

Российской Федерации и их значений»

4

Постановление Правительства Российской Федерации

от 17 февраля 2018 г. № 162

«Об утверждении Правил осуществления государственного контроля в области

обеспечения безопасности значимых объектов критической информационной


Нормативные правовые акты Правительства Российской Федерации

5

Приказ ФСТЭК России от 6 декабря 2017 г. № 227 «Об утверждении Порядка ведения

реестра значимых объектов критической информационной инфраструктуры

Российской Федерации»,

зарегистрирован Минюстом России 8 февраля 2018 г., регистрационный № 49966

Приказ ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта

проверки, составляемого по итогам проведения государственного контроля в области

обеспечения безопасности значимых объектов критической информационной

инфраструктуры Российской Федерации»,

зарегистрирован Минюстом России 28 декабря 2017 г., регистрационный № 49500

Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований

к созданию систем безопасности значимых объектов критической информационной

инфраструктуры Российской Федерации и обеспечению их функционирования»,

зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный № 50118

Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы

направления сведений о результатах присвоения объекту критической

информационной инфраструктуры одной из категорий значимости

либо отсутствии необходимости присвоения ему одной из таких категорий»,

зарегистрирован Минюстом России 13 апреля 2018 г., регистрационный № 50753

Нормативные правовые акты ФСТЭК России

Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований

по обеспечению безопасности значимых объектов критической информационной

инфраструктуры Российской Федерации»,

зарегистрирован Минюстом России 26 марта 2018 г., регистрационный № 50524

здравоохранение

информационные системы, информационно-

телекоммуникационные сети, автоматизированные системы

управления, отнесенные к объектам критической

информационной инфраструктуры

и функционирующие в следующих сферах

наука

транспорт

связь

банковская сфера и иные сферы

финансового рынка

топливно-энергетический комплекс

атомная энергия

оборонная промышленность

ракетно-космической промышленность

горнодобывающая промышленность

металлургическая промышленность

химическая промышленность

6

………Уставы,

положения

организаций

(государственных

органов)

Лицензии и

иные

разрешительные

документы на

различные виды

деятельности

Общероссийский

классификатор

видов

экономической


7

Статья 7. Федерального закона от 26 июля 2017 года № 187-ФЗ

«О безопасности критической информационной инфраструктуры Российской Федерации»

Категорирование объекта критической информационной

инфраструктуры представляет собой установление

соответствия объекта критической информационной

инфраструктуры критериям значимости и показателям

их значений, присвоение ему одной из категорий значимости,

проверку сведений о результатах ее присвоения

8

Категорированию подлежат объекты КИИ, которые

обеспечивают управленческие, технологические,

производственные, финансово-экономические и (или) иные

процессы в рамках выполнения функций (полномочий) или

осуществления видов деятельности субъектов КИИ

Статья 3 Правил категорирования объектов критической информационной инфраструктуры

российской Федерации, утвержденных постановлением Правительства Российской Федерации

от 8 февраля 2018 г. № 127

Постановление Правительства


от 8 февраля 2018 г. № 127

«Об утверждении Правил

категорирования объектов


инфраструктуры Российской

Федерации, а также перечня

показателей критериев

значимости объектов



Федерации и их значений»

Подготовлено в соответствии

с пунктом 1 части 2 статьи 6

Федерального закона № 187-ФЗ

Утверждает правила

категорирования объектов

КИИ РФ

Утверждает перечень

показателей критериев

значимости объектов

КИИ РФ и их значения


9

а) руководитель субъекта КИИ или уполномоченное им лицо;

б) работники субъекта КИИ, являющиеся специалистами в области

выполняемых функций или осуществляемых видов деятельности,

и в области информационных технологий и связи, а также специалисты

по эксплуатации основного технологического оборудования,

технологической (промышленной) безопасности, контролю за опасными

веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта КИИ, на которых возложены функции обеспечения

безопасности (информационной безопасности) объектов КИИ;

г) работники подразделения по защите государственной тайны субъекта

КИИ (в случае, если объект КИИ обрабатывает информацию,

составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и

защите от чрезвычайных ситуаций или работники, уполномоченные на

решение задач в области гражданской обороны и защиты от чрезвычайных

ситуаций.

Состав комиссии по категорированию

Могут включаться представители государственных органов и российских

юридических лиц, выполняющих функции по разработке, проведению или

реализации государственной политики и (или) нормативно-правовому

регулированию в установленной сфере деятельности, по согласованию

10

Порядок категорирования объектов КИИ

Определение процессов

Выявление критических

процессов

Выявление объектов

КИИ, обслуживающих

критические процессы

Формирует

перечень объектов,

подлежащих

категорированию

Направление

перечня в


5 дней

Оценка масштаба

возможных последствий

Объекту КИИ

устанавливается одна из

категорий значимости

Оформление акта

категорирования


сведений в


10 дней

Первый этап

Формирование перечней

объектов КИИ

Второй этап

Категорирование


11

Объекты критической информационной инфраструктуры -

информационные системы, информационно-

телекоммуникационные сети, автоматизированные системы

управления субъектов критической информационной


Предлагаемая форма представления

перечня объектов критической информационной инфраструктуры

№

п/п

Наименование

объекта КИИ

Сфера


Адреса

размещения


Ориентировочный

срок



12




процессов




Формирует





перечня в


5 дней









сведений в


10 дней







13

Критерии значимости

Социальная значимость (5 показателей), выражающаяся в оценке

возможного ущерба, причиняемого жизни или здоровью людей,

возможности прекращения или нарушения функционирования

объектов обеспечения жизнедеятельности населения, транспортной

инфраструктуры, сетей связи, а также максимальном времени

отсутствия доступа к государственной услуге для получателей такой

услуги

Значимости объекта критической информационной инфраструктуры

для обеспечения обороны страны, безопасности государства

и правопорядка (3 показателя).

Политическая значимость (2 показателя), выражающаяся в оценке

возможного причинения ущерба интересам Российской Федерации в

вопросах внутренней и внешней политики.

Экономическая значимость (3 показателя), выражающаяся в оценке

возможного причинения прямого и косвенного ущерба субъектам

критической информационной инфраструктуры и (или) бюджетам

Российской Федерации.

Экологическая значимость (1 показатель), выражающаяся в оценке

уровня воздействия на окружающую среду.

14




процессов




Формирует





перечня в


5 дней









сведений в


10 дней







15

Значимые объекты критической информационной

инфраструктуры - объекты критической информационной

инфраструктуры, которым присвоена одна из категорий

значимости и которые включены в реестр значимых объектов

критической информационной инфраструктуры

Приказ ФСТЭК России

от 22 декабря 2017 г. № 236

«Об утверждении формы

направления сведений

о результатах присвоения

объекту критической

информационной

инфраструктуры одной

из категорий значимости либо

об отсутствии необходимости

присвоения ему одной

из таких категорий»

Зарегистрирован Минюстом

России 13 апреля 2018 г.,

регистрационный № 50753

Подготовлен в соответствии



Определяет какие сведения и в какой

форме направляются в ФСТЭК России

по результатам категорирования

объектов КИИ Российской Федерации


16


от 6 декабря 2017 г. № 227

«Об утверждении

Порядка ведения реестра

значимых объектов

критической



Федерации»

Зарегистрирован

Минюстом России

8 февраля 2018 г. рег. № 49966

Подготовлено в соответствии



Определяет сведения, которые

вносятся в реестр значимых



Определяет правила формирования

и ведения реестра значимых



Определяет формирование

регистрационного номера,

вносимого в реестр значимых




17

Государственный контроль в области обеспечения безопасности значимых

объектов критической информационной инфраструктуры


Истечение срока выполнения

субъектом КИИ предписания

об устранении выявленного

нарушения

Возникновение компьютерного

инцидента, повлекшего негативные

последствия

Поручение Президента Российской

Федерации или Правительства

Российской Федерации либо на

основании требования прокурора

Истечение 3 лет со

дня осуществления

последней плановой

проверки

Истечение 3 лет со

дня внесения

сведений об объекте

КИИ в Реестр

П

л

а

н

о

в

ы

й

В

н

е

п

л

а

н

о

в

ы

й


18



от 17 февраля 2018 г. № 162

«Об утверждении Правил

осуществления государственного

контроля в области обеспечения

безопасности значимых объектов




Подготовлено в соответствии с пунктом 2 части 2

статьи 6 Федерального закона № 187-ФЗ

Устанавливает Правила осуществления

ФСТЭК России и ее территориальными

органами государственного контроля в

области обеспечения безопасности значимых

объектов критической информационной

инфраструктуры Российской Федерации

19


от 11 декабря 2017 г. № 229

«Об утверждении формы акта

проверки, составляемого по

итогам проведения

государственного контроля в

области обеспечения безопасности

значимых объектов критической






8 декабря 2017 г. рег. № 49500

Подготовлен в соответствии с пунктом 5 части 3

статьи 6 Федерального закона № 187-ФЗ

Определяет типовую форму акта проверки


от 21 декабря 2017 г. № 235

«Об утверждении Требований

к созданию систем безопасности




и обеспечению их функционирования»



22 февраля 2018 г. рег. № 50118

Устанавливает требования к силам

обеспечения безопасности значимых

объектов

Устанавливает требования к

программным и программно-

аппаратным средствам


организационно-распорядительным

документам по безопасности


Нормативные правовые акты ФСТЭК России 20


от 25 декабря 2017 г. № 239

«Об утверждении Требований

по обеспечению безопасности






26 марта 2018 г. рег. № 50524


обеспечению безопасности в ходе

создания, эксплуатации и вывода из

эксплуатации значимых объектов

Устанавливает требования

к организационным и техническим

мерам, принимаемым для

обеспечения безопасности


Федеральный закон

от 26 июля 2017 г. № 187-ФЗ

«О безопасности критической



Часть 1 статьи 10:

В целях обеспечения безопасности

значимого объекта критической


субъект критической информационной

инфраструктуры в соответствии

с требованиями к созданию систем

безопасности таких объектов

и обеспечению их функционирования,

утвержденными федеральным органом

исполнительной власти,

уполномоченным в области

обеспечения безопасности критической


Российской Федерации, создает систему

безопасности такого объекта

и обеспечивает ее функционирование.

21

Объекты КИИ субъекта

ИС1

(знач.)

ИС2

…

Исn

(знач.)

АСУ ТП1

АСУ ТП2

(знач.)

…

АСУ ТПl

ИТКС1

(знач.)

ИТКС2

…

ИТКСm

(знач.)

Система безопасности

Правовые меры

Организационные меры

Технические меры

Другие мерыСоздается в целях обеспечения устойчивого

функционирования значимых объектов


инфраструктуры при проведении в

отношении них компьютерных атак

22

Организационно-распорядительные

документы

Средства

Силы

программные и

программно-аппаратные

средства, применяемые

для обеспечения

безопасности значимых

объектов

• подразделения (работники)

субъекта КИИ, ответственные за

обеспечение безопасности

значимых объектов КИИ;

• иные подразделения

(работники), участвующие в

обеспечении безопасности

значимых объектов КИИ,

включая:

o подразделения (работников),

эксплуатирующие

(эксплуатирующих) значимые

объекты КИИ,

o подразделения (работников),

обеспечивающие

(обеспечивающих)

функционирование

(сопровождение, обслуживание,

ремонт) значимых объектов

КИИ

разрабатываются субъектами критической


в соответствии с Требованиями

23

руководитель субъекта КИИ

уполномоченное лицо

подразделения, эксплуатирующие значимые объекты

подразделения, обеспечивающие функционирование значимых объектов

подразделение, ответственное за обеспечение безопасности значимых объектов

организация –лицензиат (ТЗИ или ТЗКИ)

выполняют только задачи,

определенные в должностных

регламентах и связанные с

обеспечением безопасности

значимых объектов или

обеспечением информационной

безопасности субъекта КИИ

создает систему безопасности,

организует и контролирует ее

функционирование, а также

принимает меры по ее

совершенствованию

определяет состав и структуру

системы безопасности, а также

функции ее участников при

обеспечении безопасности


должны обеспечивать

безопасность

эксплуатируемых ими


должны быть ознакомлены

с организационно-

распорядительными

документами по

безопасности значимых

объектов

осуществляют свои функции

в соответствии с правилами

безопасности,

установленными

организационно-

распорядительными

документами

24

средства защиты информации от НСД, включая встроенные в общесистемное, прикладное

программное обеспечение средства защиты информации

ч

межсетевые экраны

средства обнаружения (предотвращения) вторжений

средства антивирусной защиты

средства (системы) контроля (анализа) защищенности

средства управления событиями безопасности

средства защиты каналов передачи данных

Прошли оценку соответствия в форме обязательной сертификации, приемки или

испытаний

В приоритетном порядке применяются встроенные в ОПО и СПО СЗИ

Применяются в соответствии с эксплуатационной документацией

Должна быть обеспечена гарантийная, техническая поддержка СЗИ со стороны

разработчиков (производителей)

Должны быть учтены возможные ограничения со стороны разработчика

Должны обеспечивать реализацию технических мер обеспечения безопасности

Средства системы безопасности значимых объектов25

Организационно-распорядительные документы по безопасности значимых объектов должны определять:

цели и задачи обеспечения безопасностиинформации и категории значимых объектов

основные угрозы нарушителей

основные организационные и техническиемероприятия по обеспечению безопасностизначимых объектов

состав и структуру системы безопасности ифункции ее участников

порядок применения, формы оценкисоответствия значимых объектов и СЗИ

планы мероприятий по обеспечениюбезопасности значимых объектов

порядок реализации отдельных мер пообеспечению безопасности значимыхобъектов

порядок проведения испытаний или приемкисредств защиты информации

порядок реагирования на компьютерныеинциденты

порядок информирования и обученияработников субъекта КИИ

порядок взаимодействия подразделений(работников) субъекта КИИ при решениизадач обеспечения безопасности значимыхобъектов

порядок взаимодействия субъекта КИИс ГосСОПКА

правила безопасной работы работников

субъекта КИИ на значимых объектах

действия работников субъекта КИИ при

возникновении компьютерных инцидентов

и иных нештатных ситуаций

Являются частью документов по вопросам обеспечения информационной

безопасности (защиты информации) субъекта КИИ, доводятся в части касающейся

Состав и формы документов определяются субъектом КИИ

Требования к организационно-распорядительным документам

по безопасности значимых объектов

26

планирование и разработка мероприятий по обеспечению безопасности значимых объектов

реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов

контроль состояния безопасности значимых объектов

совершенствование безопасности значимых объектов

Требования к функционированию

системам безопасности значимых объектов

27

Утверждаю

руководитель субъекта КИИ

План мероприятий по обеспечению

безопасности значимых объектов

Мероприятие № 1

Наименование мероприятия.

Срок исполнения мероприятия.

Наименования подразделений (работников),

ответственных за реализацию мероприятия.

…

Мероприятие № n

Наименование мероприятия.

Срок исполнения мероприятия.

Наименования подразделений (работников),

ответственных за реализацию мероприятия.

Разрабатывается не менее чем на 1 год

Доводится до подразделений в части,

их касающейся

Разрабатывается структурным подразделением по безопасности с участием

подразделений, эксплуатирующих значимые объекты и подразделений, обеспечивающих их функционирование

Включаются мероприятия по обеспечению функционирования системы безопасности, а также

организационные и технические мероприятия по обеспечению безопасности значимых объектов,

направленные на решение задач системы обеспечения безопасности

Контроль за выполнением плана мероприятий осуществляется структурным подразделением по

безопасности

Подразделение по безопасности ежегодно готовит отчет о выполнении плана мероприятий, который

представляется руководителю субъекта КИИ

Может быть включен в общий план деятельности субъекта КИИ

в качестве отдельного раздела

Порядок разработки, утверждения и внесения изменений в план мероприятий определяется

в организационно-распорядительных документах по безопасности значимых объектов

Планирование и разработка мероприятий

по обеспечению безопасности значимых объектов

28

Документирование результатов

В соответствии с организационно-распорядительными документами

Принятие мер

Организационных Применение СЗИ

Выполнение плана мероприятий

В соответствии с организационно-распорядительными документами

Реализация (внедрение) мероприятий

по обеспечению безопасности значимых объектов

29

Проводит комиссия, назначаемая субъектомКИИ, в состав которой входят работники

структурного подразделения по безопасности, работники подразделений,

эксплуатирующих значимые объекты, и подразделений, обеспечивающих

их функционирование

Проводят организации, имеющие лицензии на деятельность в области ЗИ (в части услуг по контролю защищенности информации от

НСД и ее модификации в средствах и системах информатизации)

Внутренний контроль организации работ по обеспечению безопасности значимых

объектов и эффективности принимаемых организационных и технических мер

Внешняя оценка (внешний аудит) состояния безопасности значимых

объектов

Проводится ежегодно

Выявленные замечания подлежат

устранению в порядке и сроки,

установленные руководителем

субъекта КИИ (уполномоченным

лицом)

Акт, подписываемый членами

комиссии и утверждаемый

руководителем субъекта

(уполномоченным лицом)

Контроль состояния безопасности значимых объектов30

Предложения могут быть внесены в план мероприятий (по решению

руководителя субъекта КИИ)

Предложения представляются руководителю субъекта КИИ

Разработка предложений

по развитию системы безопасности

по совершенствованию безопасности значимых

объектов

Проведение анализа

функционирования системы безопасности

состояния безопасности значимых объектов

Осуществляется

структурным

подразделением

по безопасности,

специалистами

по безопасности с

участием подразделений

(работников),

эксплуатирующих

значимые объекты,

и подразделений

(работников),

обеспечивающих

функционирование


Совершенствование безопасности значимых объектов31

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ЗНАЧИМЫХ ОБЪЕКТОВ КИИ

УТВЕРЖДЕНЫ

приказом ФСТЭК России

от 25 декабря 2017 г. № 239

Требования

по обеспечению безопасности




Москва, 2017

Федеральный закон от 26 июля 2017 г. № 187-ФЗ«О безопасности критической информационной инфраструктуры Российской Федерации»

вступил в силу с 1 января 2018 г.

I. Общие положения

II. Требования к обеспечению безопасностизначимых объектов в ходе их создания,эксплуатации и вывода из эксплуатации значимыхобъектов

III. Требования к организационным и техническиммерам, принимаемым для обеспечениябезопасности значимых объектов

Приложение. Состав мер по обеспечениюбезопасности и их базовые наборы длясоответствующей категории значимого объектакритической информационной инфраструктуры

32

ОСОБЕННОСТИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ

Обеспечение безопасности

значимых объектов, в которых

обрабатывается информация,

составляющая

государственную тайну

Требования

по

обеспечению


значимых

объектов

Законодательство РФ

о государственной

тайне


значимых объектов,

являющихся государственными

информационными системами


от 11 февраля 2013 г.

№ 17



являющихся

информационными системами

персональных данных

Постановление

Правительства РФ

от 1 ноября 2012 г.

№ 1119

Обеспечения безопасности


являющихся информационно-

телекоммуникационными

сетями

Нормативные

правовые акты

Минкомсвязи России

33

РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ

Приказ ФСТЭК России от 25 декабря 2017 г. № 239

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ЗНАЧИМЫХ ОБЪЕКТОВ

КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Формирование требований к обеспечению безопасности

значимого объекта

Разработка организацион

-ных и технических

мер

Внедрение организацион

-ных и технических

мер

Подтверждениесоответствия

значимого объекта и ввод

в действие

Эксплуатация значимого

объекта


при выводе из эксплуатации

Меры обеспечения безопасно-

сти

34

ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ЗНАЧИМОГО ОБЪЕКТА

Формирование

требований



Требования к обеспечению




от 8 февраля 2018 г.

№ 127

Об утверждении Правил категорирования

объектов критической информационной

инфраструктуры Российской Федерации,

а также перечня показателей критериев

значимости объектов критической


Российской Федерации и их значений

Техническое задание на

создание значимого объекта и

(или) техническое задание на

создание подсистемы


Цель и задачи обеспечения безопасности

Перечень документов разработки

Перечень защищаемых информационных

ресурсов (объектов защиты)

Категория значимости объекта

Требования к организационным мерам и

средствам защиты информации

Стадии (этапы работ) создания подсистемы


Требования к организационным мерам и

средствам защиты информации

Требования к защите обеспечивающей


Требования к информационному

взаимодействию значимого

Положения организационно-распорядительных

документов по обеспечению безопасности


35

РАЗРАБОТКА ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР

ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМОГО ОБЪЕКТА

РАЗРАБОТКА

ОРГАНИЗАЦИОННЫХ И

ТЕХНИЧЕСКИХ МЕР

Моделирование угроз

Проектирование

подсистемы безопасности

Модель угроз


информации

Разработка

эксплуатационной

документации 1. Описание архитектуры

2. Описание угроз

2.2. Потенциальные уязвимости

2.1. Описание нарушителей

2.3. Способы реализации угроз

2.4. Последствия от реализации угроз

Банк данных угроз

безопасности информации

36

Иные сведения об уязвимостях и

угрозах безопасности информации

может

разрабатываться

для нескольких


имеющих

одинаковые

цели создания и

архитектуру, а также

типовые угрозы













документации

Определение субъектов доступа и объектов доступа

Определение политики управления доступом

Определение видов и типов средств защиты


Обоснование организационных и технических мер

Определение структуры подсистемы безопасности

Выбор средств защиты информации

Требования к параметрам настройки

программных и программно-аппаратных средств

Определение мер при информационном

взаимодействии

Проектная документация на значимый

объект (подсистему безопасности)

Макетирование подсистемы безопасности

37

Предусмотрена

разработка

программного

обеспечения

Стандарт безопасной

разработки

программного

обеспечения











документации

Эксплуатационная документация

Состав, места установки, параметры и

порядок настройки средств защиты

информации, программного обеспечения и

аппаратных средств

Правила эксплуатации средств защиты

информации значимого объекта

Структура подсистемы безопасности

значимого объекта

Эксплуатационная документация

Эксплуатационная

документация

38

ВНЕДРЕНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР


ВНЕДРЕНИЕ ОРГАНИЗАЦИОННЫХ

И ТЕХНИЧЕСКИХ МЕР

Приемочные испытания

Программа и методика

приемочных испытаний

Акт приемки значимого объекта в

эксплуатацию

Ввод в действие

Модель угроз


информацииАкт категорирования

Эксплуатационная

документация

Документы по


Результаты выявления

уязвимостей

Результаты

предварительных

испытаний

Аттестат

соответствия

ИЛИ

39

СОСТАВ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДЛЯ ЗНАЧИМОГО ОБЪЕКТА

Идентификация и аутентификация

Обеспечение доступности

Обеспечение целостности

Управление доступом

Ограничение программной среды

Защита машинных носителей информации

Антивирусная защита

Предотвращение вторжений

(компьютерных атак)

Управление конфигурацией

Реагирование на инциденты информационной безопасности

Защита технических средств и систем

Защита информационной

(автоматизированной) системы (сети) и ее

компонентов

Управление обновлениями программного обеспечения

Планирование мероприятий по обеспечению безопасности

Обеспечение действий в нештатных (непредвиденных) ситуациях

Аудит безопасности

Информирование и обучение персонала

Состав мер и их базовые наборы для соответствующих категорий значимости

значимых объектов приведены в приложении

40

Реализация Федерального закона

от 26 июля 2017 года № 187-ФЗ

«О безопасности критической информационной


Выступление

заместителя руководителя Управления ФСТЭК России

по Приволжскому федеральному округу

ХАЧИНЯНА Владимира Спартаковича

Documents

Выступление заместителя руководителя ... · 2018-05-29 · АСУ ТП 1 АСУ ТП 2 (знач.) … АСУ ТП l ИТКС 1 (знач.) ИТКС