Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме


КСИИ,
приказ ФСТЭК №31

I Пролог

II Ключ на старт

III Калькулятор, как инструмент ИБ

IV100 и больше - перспектива КИИ

V 100 и меньше - изучаем приказ №31

VIНазад, к арифметике

VII Финиш?

 



Q: Неужели недостаточно комплексных мер защиты ИТ-систем?

A: Нет. Угрозы НДВ ( закрытых технологий) типа ME/ATM, IPMI, BMC, TPM, IMM, ILO и т.п., как объективная реальность, в руках их создателя, по словам небезызвестного RTT, - это абсолютное оружени судного дня, действующее на аппаратном уровне вне зоны контроля программных средств защиты и способное как обеспечить перехват управления любым средство ВТ, так и необратимо вывести их из строя.

В.Б.


Организация защиты ключевых систем информационной инфраструктуры (КСИИ),
приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП

Согласно официальному определению, ключевой системой информационной инфраструктуры является "..информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.Критически важными являются объекты, прекращение или нарушение функционирования которых может привести к тяжелым последствиям для региона или государства в целом, в том числе и к человеческим жертвам."

Очевидно, что к категории КСИИ в первую очередь относятся инфокоммуникационные технологии и системы (читай - автоматизированные системы управления ) объектов топливно-энергетического комплекса, атомной промышленности, транспортной отрасли и другие, нарушения работы которых может привести к социальным последствиям. Безусловно, в перечне таких критически важных объектов муниципальных образований относятся, к примеру, ТГК/ТЭЦ, как генерирующие компании, т.к. отключение центрального теплоснабжения города в зимнее время может привести к трагическим последствиям, на предотвращение которых и нацелены требования руководящих документов ФСТЭК, которые распространяются под грифом ДСП:

  1. "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007).
  2. "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007).
  3. "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007).
  4. "Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 19.11.2007).
  5. "Положение о Реестре ключевых систем информационной инфраструктуры" (утв. приказом ФСТЭК России от 04.03.2009).

За исключением имеющего гриф "секретно":
"Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий" (от 08.11.2005).

Результат выполнения требований этих документов - ряд локальных нормативных актов и организационно-технческих мероприятий, охватывающих не только сфреру ИБ, но и смежные, включая разработку паспортов безопасности объектов, обеспечение их физической защиты, план действий в чрезвычайных ситуациях, входящие в компетенцию подразделений охраны, ГО и ЧС и другие.

Следует отметить, что документы по КСИИ - это хорошо структурированный перечень требований и рекомендаций, построенных на основе анализа угроз информационной системы, отнесенной к КСИИ, что, в свою очередь, требует применения анализа рисков при проведении классификации системы по назначению и уровню важности.

Ниже приведен порядок выполнения требований ФСТЭК (организационная часть работы) на примере крупного энергетического комплекса без некоторой детализации. Техническая часть работы после проведения классификации систем не представляет особых проблем.

Страница 1 2 3 4 5 6 7

© Центр Сетевой Безопасности Арнис, 2014

о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница