Download to read offline
Требования к созданию систем безопасности ЗОКИИ и обеспечение безопасности объектов КИИ
- 1. 1 Требования к созданиюсистем безопасности значимых объектов критической инфраструктуры и обеспечение безопасности объектов критической информационной инфраструктуры
- 2. 2 Требования к созданиюсистем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования Утверждены приказом ФСТЭК России от 21 декабря 2017 г. №235 (зарегистрирован Минюстом России 22 февраля 2018 г., рег. № 50118) I Общие положения II Требования к силам обеспечения безопасности значимых объектов КИИ III Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов КИИ IV Требования к организационно-распорядительным документам по безопасности значимых объектов V Требования к функционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов КИИ
- 3. 3 I Общие положения.Система безопасности Правовые меры Организационные меры Технические меры Другие меры С и с т е м а б е з о п а с н о с т и Создается в целях обеспечения устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак ИС1 ИС2 … Исn АСУ ТП1 АСУ ТП2 … АСУ ТПl ИТКС1 ИТКС2 … ИТКСm
- 4. 4 I Общие положения.Система безопасности Организационно -распорядит. документы Средства Силы С и с т е м а б е з о п а с н о с т и предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами восстановление функционирования значимых объектов недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов непрерывное взаимодействие с ГосСОПКА
- 5. 5 II Требования ксилам обеспечения безопасности • подразделения субъекта КИИ, ответственные за обеспечение безопасности ЗО КИИ • подразделения, эксплуатирующие ЗО КИИ • подразделения, обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ • иные подразделения, участвующие в обеспечении безопасности ЗО КИИ
- 6. выполняют только задачи, определенныев должностных регламентах и связанные с обеспечением безопасности значимых объектов или обеспечением информационной безопасности субъекта КИИ руководитель субъекта КИИ уполномоченное лицо подразделения, эксплуатирующие значимые объекты подразделения, обеспечивающие функционирование значимых объектов подразделение, ответственное за обеспечение безопасности значимых объектов создает систему безопасности, организует контролирует принимает меры по ее совершенствованию определяет состав и структуру системы безопасности определяет функции ее участников должны обеспечивать безопасность эксплуатируемых ими значимых объектов могут назначаться работники, на которых возлагаются отдельные функции по безопасности организация – лицензиат (ТЗИ или ТЗКИ) Все участники должны быть ознакомлены с организационно- распорядительными документами по безопасности значимых объектов осуществляют свои функции в соответствии с правилами безопасности, установленными организационно- распорядительными документами II Требования к силам обеспечения безопасности Не реже раза в год проводятся организационные мероприятия для повышения уровня знаний по вопросам обеспечения безопасности
- 7. 7 II Требования ксилам обеспечения безопасности Функции и обязанности структурного подразделения по безопасности разработка предложений по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представление их руководителю субъекта КИИ; проведение анализа угроз безопасности информации в отношении значимых объектов и выявление уязвимостей в них; обеспечение реализации требований по обеспечению безопасности значимых объектов; обеспечение в соответствии с требованиями по обеспечению безопасности значимых объектов реализации организационных мер и применения средств защиты информации, эксплуатации средств защиты информации; осуществление реагирования на компьютерные инциденты; организация проведения оценки соответствия значимых объектов требованиям по безопасности; подготовка предложений по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов; обладание знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов; прохождение повышения уровня знаний по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации не реже одного раза в год.
- 8. 8 III Требования ксредствам обеспечения безопасности встроенные в общесистемное, прикладное программное обеспечение средства защиты информации межсетевые экраны средства обнаружения (предотвращения) вторжений средства антивирусной защиты средства (системы) контроля (анализа) защищенности средства управления событиями безопасности средства защиты каналов передачи данных программные и программно аппаратные средства, применяемые для обеспечения безопасности значимых объектов Прошли оценку соответствия в форме обязательной сертификации, приемки или испытаний В приоритетном порядке применяются встроенные в ОПО и СПО СЗИ Применяются в соответствии с эксплуатационной документацией Должна быть обеспечена поддержка СЗИ Должны быть учтены возможные ограничения со стороны разработчика Должны обеспечивать реализацию технических мер обеспечения безопасности
- 9. 9 IV Требования корганизационно-распорядительным документам по безопасности значимых объектов определяют порядок и правила функционирования системы безопасности объекта определяют порядок и правила обеспечения безопасности объектов часть документов по защите информации включаются в общие документы по вопросам обеспечения безопасности часть документов по вопросам функционирования
- 10. 10 IV Требования корганизационно-распорядительным документам по безопасности значимых объектов Организационно-распорядительные документы по безопасности значимых объектов должны определять: цели и задачи обеспечения безопасности значимых объектов основные угрозы безопасности информации и категории нарушителей основные организационные и технические мероприятия по обеспечению безопасности значимых объектов состав и структуру системы безопасности и функции ее участников порядок применения, формы оценки соответствия значимых объектов и СЗИ планы мероприятий по обеспечению безопасности значимых объектов порядок реализации отдельных мер по обеспечению безопасности значимых объектов порядок проведения испытаний или приемки средств защиты информации порядок реагирования на компьютерные инциденты порядок информирования и обучения работников субъекта КИИ порядок взаимодействия подразделений (работников) субъекта КИИ при решении задач обеспечения безопасности значимых объектов порядок взаимодействия субъекта КИИ с ГосСОПКА правила безопасной работы работников субъекта КИИ на значимых объектах действия работников субъекта КИИ при возникновении компьютерных инцидентов и иных нештатных ситуаций
- 11. 11 V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов планирование и разработка мероприятий по обеспечению безопасности значимых объектов реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов контроль состояния безопасности значимых объектов совершенствование безопасности значимых объектов
- 12. 12 V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов План мероприятий Разрабатывается ежегодно (или на более длительный срок) Может учитывать имеющиеся программы и планы по модернизации , оснащению Разрабатывается структурным подразделением по безопасности с участием эксплуатирующих и обеспечивающих подразделений Содержит мероприятия по обеспечению функционирования системы безопасности организационные мероприятия по обеспечению безопасности технические мероприятия по обеспечению безопасности
- 13. 13 V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов План мероприятий Утверждается Руководителем субъекта Доводится до подразделений (работников) в части касающейся На его основе могут разрабатываться отдельные планы мероприятий Контроль за выполнением плана мероприятий осуществляется структурным подразделением по безопасности Готовится отчет о выполнении плана мероприятий, который представляется руководителю субъекта КИИ Может быть включен в общий план деятельности субъекта КИИ в качестве отдельного раздела
- 14. 14 V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов Документирование результатов В соответствии с организационно-распорядительными документами Принятие мер Организационных Применение СЗИ Выполнение плана мероприятий В соответствии с организационно-распорядительными документами
- 15. V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов Внутренний контроль организации работ по обеспечению безопасности значимых объектов и эффективности принимаемых организационных и технических мер Проводит комиссия, назначаемая субъектом КИИ, в состав которой входят: работники структурного подразделения по безопасности, работники подразделений, эксплуатирующих объекты, работники подразделений, обеспечивающих их функционирование Акт, подписываемый членами комиссии и утверждаемый руководителем субъекта (уполномоченным лицом) Проводят организации, имеющие лицензии Внешняя оценка (внешний аудит) состояния безопасности значимых объектов Выявленные замечания подлежат устранению
- 16. 16 V Требования кфункционированию систем безопасности в части организации работ по обеспечению безопасности значимых объектов Совершенствование безопасности значимых объектов Предложения представляются руководителю субъекта КИИ Разработка предложений по развитию системы безопасности по мерам по совершенствованию безопасности значимых объектов Проведение анализа функционирования системы безопасности состояния безопасности значимых объектов
Editor's Notes
- #2 вступил в силу с 1 января 2018 г. Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Затрагивает 12 сфер деятельности
- #3 Система безопасности создается для всех объектов субъекта, НО по решению может субъекта для отдельных окии могут создаваться отдельные системы
- #4 7. Создаваемые системы безопасности должны соответствовать требованиям, предъявляемым к: силам обеспечения безопасности значимых объектов критической информационной инфраструктуры; программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры; организационно-распорядительным документам по безопасности значимых объектов; функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры.
- #9 Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры. Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности (защиты информации) субъекта критической информационной инфраструктуры. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта критической информационной инфраструктуры. 24. Организационно-распорядительные документы по безопасности значимых объектов разрабатываются исходя из особенностей деятельности субъекта критической информационной инфраструктуры на основе настоящих Требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры и защиты информации.
- #11 28. В рамках функционирования системы безопасности субъектом критической информационной инфраструктуры должны быть внедрены следующие процессы: