Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме


КСИИ,
приказ ФСТЭК №31

I Пролог

II Ключ на старт

III Калькулятор, как инструмент ИБ

IV 100 и больше - перспектива КИИ

V 100 и меньше - изучаем приказ №31

VI Назад, к арифметике

VII Финиш?

 

Организация защиты ключевых систем информационной инфраструктуры (КСИИ),
приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП

 

Приступим к делу

Цель прежняя – найти оптимальное решение задачи по реализации требований регулятора с минимальной нагрузкой на бюджет компании.

Порядок действий, в целом, прежний, как и при определении оценки защищенности КСИИ, за небольшим исключением – подготовительный этап по сбору информации сводится к получению точной и достоверной информации обо всех АС/АСУ/АСУП/АСУ ТП (об их конфигурациях, состоянии, внешних связях и т.д.) с тщательным [д]опросом всех эксплуататоров, асунизаторов, айтишников и внешних службы сопровождения и сопоставления полученной информации для исключения нестыковок и противоречий в «показаниях» фигурантов. ) К примеру, не всем из них известно, что синхронизация времени системных часов осуществляется по GPS, а удаленный доступ и снятие телеметрии посредством GSM. )

Для определения угроз безопасности информации в АСУ ТП так же применяются методические документы ФСТЭК России "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" и "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры".

Формально, расчет класса защищенности АС не представляет сложности, но при подготовке актов важно получить и зафиксировать экспертное заключение и обоснование каждого значения принятых оценок.
К примеру, уровень значимости определяется следующим по формуле -

УЗ=[(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)]

Но для АСУ ТП обеспечение конфиденциальности информации не требуется, так как технологическая информация (возникающие события, входная и выходная информация и пр.) носит типовой, оперативный и локальный характер, не относится к категории конфиденциальной и типична для подобных систем, а утечка такой информации не приведет к негативным последствиям, влияющих на работоспособность системы - параметр степень ущерба при нарушении конфиденциальности не применяется.
Порядок определения степени ущерба остальных показателей приведен в приложении 1 к приказу №31, определить по таблице:


Степень ущерба

Последствия

Высокая

Чрезвычайная ситуация федерального или межрегионального характера (*) или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности

Средняя

Чрезвычайная ситуация регионального или межмуниципального характера (*) или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности

Низкая

Чрезвычайная ситуация муниципального (локального) (*) характера или возможность иных незначительных негативных последствий в социальной, политической, экономической, военной или иных областях деятельности

* - устанавливается в соответствии с постановлением Правительства РФ от 21.05.2007 №304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Приложение № 3).
Приказ ФСТЭК от 14.03.2014 №31 вводит 3-хуровневую классификацию АСУ ТП (К1, К2, К3), соответствующую с принятой на критически важных объектах классификацией уровней опасности и классификацией уровней антитеррористической защищенности. На объектах ТЭК класс защищенности АСУ ТП не может быть выше категории опасности объекта ТЭК.

Не следует забывать о вспомогательных объектах ТЭЦ, таких, как насосные станции, багерные насосные, понизительные насосные станции и прочие, без нормальной работы которых невозможно обеспечить функционирование ТЭЦ.

АСУ ТП ПНС, как правило, не считаются объектами ТЭК по классификации Минэнерго, поэтому степень возможного ущерба определяется экспертным методом и устанавливается низкой, так как системы является дублированными и отключение автоматики АСУ ТП не приведет к выходу их из строя (основные гидравлические системы оснащены гидромеханическими защитными системами, чувствительными к критическому изменению параметров процессов и реагирующими на аварийную ситуацию без участия АСУ ТП или машинистов ПНС).

Аналогично проводим анализ и оценку остальных объектов с педантичным обоснованием наиболее низких уровней значимости (критичности) (УЗ 3) и определяем соответствующие им классы защищенности АСУ ТП отдельных энергоблоков, ПНС и иных смежных объектов (К3).

Приступаем к написанию подробной пояснительной записки расчетов и фиксируем результаты актами. Alles!

Страница 1 2 3 4 5 6 7

© Центр Сетевой Безопасности Арнис, 2014

о компании | обратная связь | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница