Какой нормативно правовой документ утверждает требования по безопасности значимых объектов кии рф

Обновлено: 10.05.2024

Коллеги, используя свой блог как площадку для обмена опытом и наработками по тематике КИИ, с согласия автора публикую в неизменном виде анализ 235-го приказа ФСТЭК, проведенный Начальником отдела защиты информации Трубной металлургической компании Александром Севостьяновым.

Документ кратко, но ёмко описывает процесс создания безопасности критической инфраструктуры и состав сил и средств.

Документ подготовлен в целях упрощенного восприятия юридической информации требований Приказа и местами дополнен примечаниями автора.

(все комментарии и примечания автора являются его частным мнением)

При этом, помним, что: п о решению субъекта КИИ для одногоили группы значимых объектов КИИ могут создаваться отдельные системы безопасности (т.е. видимо есть возможность объединить ряд однородных объектов значимых КИИ в один, в отношении которого можно будет создать единую систему безопасности).

  • СП и работники, ответственные за безопасность значимых объектов КИИ;
  • СП и работники, эксплуатирующие значимые объекты КИИ;

При этом, системы безопасности должны функционировать в соответствии с организационно-распорядительной документацией (т.е.: как сопроводительная, так и подготовленная Предприятием самостоятельно).

предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами КИИ (прим.: т.е. не всеми), уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов КИИ (прим.: наличие СКУД и видеонаблюдения обязательно);

восстановление функционирования значимых объектов КИИ, в том числе за счет создания и хранения резервных копий необходимой для этого информации;

непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со ст.5 187-ФЗ (ГОССОПКА).

к силам обеспечения безопасности значимых объектов КИИ, а именно: руководитель субъекта КИИ (Предприятия) создает или определяет структурное (или самостоятельное) подразделение (далее – СП), ответственное за обеспечение безопасности значимых объектов КИИ, или назначает (прим.: Приказом ГД) отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, которые выполняют следующие основные функции:

разрабатывают предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представляют их руководителю субъекта КИИ (уполномоченному лицу) ;

проводят анализ угроз безопасности информации в отношении значимых объектов КИИ и выявляют уязвимости в них;

обеспечивают реализацию требований по обеспечению безопасности значимых объектов КИИ, установленных в соответствии со статьей 11 187-ФЗ (п.п. 4 п.6 Закона, т.е. Приказ ФСТЭК № 239);

обеспечивают в соответствии с требованиями по безопасности реализацию организационныхмер и применение средств защиты информации, эксплуатацию средств защиты информации;

осуществляют реагирование на компьютерные инциденты в порядке п.6 части 4 статьи 6 187-ФЗ (т.е. информирование и реагирование, ликвидация);

готовят предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов КИИ;

работники СП по безопасности, штатные специалисты должны обладать знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов КИИ;

не допускается возложение на СП по безопасности, штатных специалистов функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом (прим.: т.е. только целевое использование квалифицированного персонала);

обязанности, возлагаемые на работников СП по безопасности, штатных специалистов, должны быть определены в их должностных регламентах (должностных инструкциях) и до них должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся (тоже самое касается привлекающихся для проведения технических, ремонтных работ подрядчиков);

СП , эксплуатирующиезначимые объекты КИИ, обеспечиваютбезопасность эксплуатируемых ими значимых объектов КИИ, при этом: к оординацию и контроль их деятельности по вопросам обеспечения безопасности значимых объектов КИИ осуществляют СП по безопасности, штатные специалисты;

субъект КИИ не реже 1 раза в год организует проведение методических занятий, лекций, семинаров, иных мероприятий, направленных на повышение осведомленностиоб угрозах безопасности информации и уровня знаний указанных работников по вопросам обеспечения безопасности КИИ (прим.: проводим Security Awareness ).

к ПО и ПАС, применяемым для обеспечения безопасности значимых объектов КИИ, относятся средства защиты информации (СЗИ): в том числе средства защиты информации от НСД(включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений(компьютерных атак), средства антивирусной защиты, средства (системы) контроля(анализа) защищенности, средства управлениясобытиями безопасности, средства защиты каналовпередачи данных (Прим: у многих это уже есть, осталось только переформатировать под значимые КИИ);

для обеспечения безопасности значимых объектов КИИ должны применяться СЗИ, прошедшие оценкусоответствия требованиям по безопасности в формах обязательной сертификации, испытаний или приемки;

СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ;

с иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации;

параметры и характеристики применяемых СЗИ должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов КИИ, принимаемыми в соответствии с требованиями по безопасности;

в качестве СЗИ в приоритетном порядке подлежат применению СЗИ, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ (при их наличии);

СЗИ должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на СЗИ;

применяемые СЗИ должны быть обеспечены гарантийной, технической поддержкой (т.е.: FreeWare не подойдет. При этом, варианты, когда СЗИ куплено, но не обслуживается по гарантии, вполне допустимы, хотя техническую поддержку придется восстановить)*;

при выборе СЗИ необходимо учитывать наличие ограничений на возможность их применения субъектом КИИ на любом из принадлежащих ему значимых объектов КИИ со стороны разработчиков (производителей) или иных лиц;

порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ.

*Прим.: Предприятиям будет необходимо провести проверку наличия документов, подтверждающих право собственности на СЗИ.

ОРД по безопасности значимых объектов являются частью общей системы документов (стандартов организации) по вопросам обеспечения информационной безопасности (защиты информации) субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта КИИ;

ОРД по безопасности значимых объектов разрабатываются применительно к особенностямдеятельности субъекта КИИ на основе настоящих требований, требований по безопасности , иных нормативных правовых актов в области обеспечения безопасности КИИ и защиты информации;

ОРД должны определять: 1 - цели и задачиобеспечения безопасности значимых объектов КИИ; 2 - основные угрозы безопасности информации и категории нарушителей; 3 - основные организационные и технические мероприятияпо обеспечению безопасности значимых объектов КИИ; 4 - состави структуру системы безопасности и функции ее участников; 5 - порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и СЗИ требованиям по безопасности; 6 - планы мероприятий по обеспечению безопасности значимых объектов КИИ; 7 - модели угроз безопасности информации в отношении значимых объектов КИИ; 8 - порядок реализации отдельных мер по обеспечению безопасности значимых объектов КИИ; 9 - порядок проведения испытаний или приемки СЗИ; 10 - порядок реагирования на компьютерные инциденты; 11 - порядок информирования и обучения работников; 12 - порядоквзаимодействия подразделений (работников) субъекта КИИ при решении задач обеспечения безопасности значимых объектов КИИ; 13 - порядок взаимодействия субъекта КИИ с ГОССОПКА; 14 - правила безопасной работы работников субъекта КИИ на значимых объектах КИИ; 15 - действия работников субъекта КИИ при возникновении компьютерных инцидентови иных нештатных ситуаций .

планирование и разработка мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: разработка СП по безопасности и ежегодного (или более) плана мероприятий по обеспечению безопасности значимых объектов КИИ и его утверждение руководителем субъекта КИИ, включающего: наименованиямероприятий по обеспечению безопасности значимых объектов КИИ, сроки их выполнения, наименования СП (работников), ответственных за реализацию каждого мероприятия; о рганизационные и технические мероприятия по обеспечению безопасности значимых объектов КИИ, направленные на решение задач, установленных требованиями. На основе общего плана, в местах эксплуатации могут готовиться локальныепланы). Выполнение плана контролируетсяСП по безопасности, которые ежегодно готовят отчет по его выполнению);

реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: является результатом выполнения планамероприятий и осуществляется в соответствии с ОРД по безопасности значимых объектов. В ходе реализации мероприятий по обеспечению безопасности значимых объектов принимаются организационные меры и (или) внедряются СЗИ на значимых объектах КИИ, направленные на блокирование (нейтрализацию) угроз безопасности информации, при этом: результаты подлежат документированиюв порядке, установленном субъектом КИИ в ОРД по безопасности значимых объектов).

контроль состояния безопасности значимых объектов КИИ (т.е.: проводится ежегодно комиссией, назначаемой субъектом КИИ в состав: СП по безопасности, штатные специалисты, подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих функционированиезначимых объектов КИИ, а также иные работники других СП. По результатам готовиться Акт, подписываемый членами комиссии и утверждается руководителем субъекта КИИ, при этом: в случае проведения внешней оценки (внешний аудит силами лицензионной по НСД Организации), внутренний контроль может не проводиться).

совершенствование безопасности значимых объектов КИИ (т.е.: силами СП по безопасности проводится анализ функционирования системы безопасности и состояния безопасности значимых объектов КИИ, по результатам которых разрабатываются предложенияпо развитию системы безопасности и меры по совершенствованию безопасности значимых объектов критической информационной инфраструктуры, которые представляются руководителю субъекта КИИ).

В настоящий момент Предприятию потребуется значительная и глубокая переработка всей локальной нормативной базы по защите информации и приведения ее в соответствии 187-ФЗ, если таковая не имеется (включая документы кадрового администрирования).

Реализация всех требования потребует создания отдельного самостоятельного подразделения по информационной безопасности критической информационной инфраструктуры, либо расширения штатной численности уже имеющихся подразделений защиты информации.

Целесообразность привлечение для целей выполнения всех требований Приказа №235 сторонних профильных Организаций до момента принятия всего пакета ключевой подзаконной нормативной документации по реализации все требований 187-ФЗ, пока под сомнением (однако, в рамках консалтинга это вполне будет уместно).

До момента утверждения перечня объектов КИИ и отправки его во ФСТЭК, у Предприятия есть время для маневра (но не большое).

В Приказах 235 и 239 нет прямыхограничений или запретов на использование удаленной технической поддержки КИИ на территории РФ, оказываемой иностранной Компанией по договору гарантийного обслуживания (в т.ч. из-за границы).

  1. Завершение выполнения требований Приказов ФСТЭК 235 и 239 в части сил и средств защиты КИИ (подготовка и введение в действие ОРД; закупка и внедрение ПО и оборудования и т.д.).
  2. Продолжение категорирования с составление предусмотренных Актов.
  3. Утверждение Актов категорирования и отправкаАктов категорирования во ФСТЭК (в теч. 10 дней).

Таким образом , выполнение всех основных требований к созданию систем безопасности КИИ по 235 Приказу и реализация требований безопасности к самим значимым объектам КИИ по 239 Приказу, должна быть выполнена в течении одного года, после отправки Перечня объектов КИИ во ФСТЭК!

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Читайте также: