Категории и классы защиты охраняемых объектов

Содержание:

ГосСОПКА

  • инвентаризация информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • анализ угроз информационной безопасности;
  • повышение квалификации персонала информационных ресурсов;
  • прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
  • обнаружение компьютерных атак;
  • анализ данных о событиях безопасности;
  • регистрация инцидентов;
  • реагирование на инциденты и ликвидация их последствий;
  • установление причин инцидентов;
  • анализ результатов устранения последствий инцидентов.
  • ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
  • корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.
  • создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
  • внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
  • получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
  • осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
  • разработка и непрерывная актуализация сценариев атак и мониторинга;
  • аналитика событий и инцидентов, построение отчетности.

Семь раз отмерь, один подай.

Как правило, к большинству объектов КИИ часть показателей неприменима в принципе. Наиболее распространённые следующие показатели:

  • Показатель 1 – Причинение ущерба жизни и здоровью людей (человек).
  • Показатель 9 – Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).
  • Показатель 11 – Вредные воздействия на окружающую среду.

Полный перечень показателей критериев значимости объектов КИИ и их значения приведены в ПП127 

а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);

б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;

г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта безопасности предусмотрена законодательством Российской Федерации);

д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;

е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.

Позволяют ли эти исходные данные оценить значения показателей значимости – большой вопрос. Наиболее близкий к «реальности» в большинстве случаев – пункт «г». И у организаций часто возникает непонимание, как же оценивать последствия.

Приведем несколько примеров, в результате которых специалистами предприятий собственными руками были завышены категории значимости объектов КИИ.

АСУТП

ПриказПриказБДУстранице

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • реагирование на компьютерные инциденты;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • планирование мероприятий по обеспечению безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Общие сведения

Объекты социальной инфраструктуры предназначены для создания необходимых комфортных условий для жизнедеятельности человека.

К социально-значимым относятся объекты социальной инфраструктуры:

— здравоохранения, образования (детские дошкольные учреждения, высшие, средние и общеобразовательные учебные заведения,), социального обеспечения;

— культурные, досуговые и спортивные;

— заведения общепита, бытового обеспечения, потребительский рынок (предназначенные для удовлетворения потребностей людей в необходимых для нормальной жизнедеятельности товарах, продукции, услугах);

— жилищно-коммунальные организации, финансовые, предприятия похоронного обслуживания.

Кейс №4. Знал бы, где падать – соломки подстелил.

У специалистов на предприятии возникли сложности при оценке показателя 1 (Причинение ущерба жизни и здоровью людей).

Результат: Было определено, что в случае компьютерного инцидента на предприятии ущерб жизни и здоровью людей невозможен.

Ошибка: Специалисты провели недостаточный анализ последствий от компьютерного инцидента, сделали вывод, но сформулировать обоснование для формы отправки сведений не смогли.

Вывод: При проведении анализа были определены условия, при которых возможно причинение ущерба жизни и здоровью людей. Также было составлено корректное обоснование для формы отправки сведений.

Итог: 3-я категория значимости объекта КИИ вместо отсутствия категории.

7. Требования к проектированию объектов социально-культурного и коммунально- бытового назначения, нежилых помещений в многоквартирных домах, в которых согласно

заданию на проектирование предполагается единовременное нахождение в любом из помещений более 50 человек и при эксплуатации которых не предусматривается установление специального пропускного режима

7.1. В проектной документации на объекты социально-культурного и коммунально-бытового назначения, нежилые помещения в многоквартирных домах, в которых согласно заданию на проектирование предполагается единовременное нахождение в любом из помещений более 50 человек и при эксплуатации которых не предусматривается установление специального пропускного режима должна быть предусмотрена возможность оснащения их средствами защиты согласно таблице 1.

7.2. В пределах границ земельного участка перед местом доступа посетителей на объект, где согласно заданию на проектирование возможно нахождение людей числом более 50, проектное решение должно обеспечивать возможность мониторинга указанного места доступа на предмет обнаружения оружия, взрывчатки и боеприпасов при помощи СОТ и СОО.

7.3. Проектной документацией должна быть обеспечена возможность оборудования и функционирования КПП, МО (МИ), ГАПВВ, РТУ места доступа на объект, предназначенного для посетителей, в соответствии с таблицей 1. Необходимость проектного обеспечения возможности оборудования других мест доступа данными средствами определяется застройщиком или заказчиком. Место доступа на объект, предназначенного для посетителей, определяется застройщиком или заказчиком.

7.4. Проектной документацией должна быть предусмотрена возможность оборудования и функционирования СОТ, СОО, СОТС, СЭС всех входов, а также мест пребывания людей численностью более 50 человек в одном из помещений.

Таблица 1

Число людей в помещениях объекта

Класс объекта по значимости

КПП

МО

или МИ

ГАПВВ

СКУД

РТУ

СОТ (+СОО)

СОТС

СЭС

1. Предусматривается согласно заданию на проектирование нахождение в одном из помещений от 50 до 500 человек

1

+

+

+

+

+

+

+

+

2

+

+

+

+

+

3

+

+

+

2. Предусматривается согласно заданию на проектирование нахождение в одном из помещений более 500 человек

1, 2, 3

+

+

+

+

+

+

+

+

Основные положения

УказаФедеральный ЗаконФедеральным ЗакономПриказаПостановление

  • выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта КИИ;
  • выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах;
  • устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»);
  • строит модели нарушителей и угроз, при этом комиссии следует рассматривать наихудшие сценарии атак с максимальными негативными последствиями;
  • оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;
  • присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.

Общественная оценка социальной значимости объектов

К социально значимым объектам относятся больницы, школы, дошкольные и другие учреждения. Какие особенности связаны с этим статусом, в частности, в процедуре банкротства.

Социально значимые объекты: что к ним относится

В отношении некоторых типов объектов используют термин «социально значимые объекты». К ним принято относить:

  • медучреждения, в том числе больницы;
  • образовательные и воспитательные учреждения – школы, высшие учебные заведения, детские сады, интернаты и т. п.;
  • дома престарелых и другие организации подобного рода;
  • спортивные комплексы и другие объекты, связанные с физкультурой и спортом;
  • музеи, мемориалы, иные объекты культуры и т. д.

Подобные объекты чаще всего находятся в государственной или муниципальной собственности. Однако это могут быть и объекты в частной собственности – например, частный детский сад, школа, медицинский центр и т. д.

Администрация того или иного образования утверждает перечень социально значимых объектов на своей территории, это связано с исполнением приказов вышестоящих органов исполнительной власти.

В список вносят объекты, которые уже существуют. Отдельно учитывают объекты, которые планируется построить и ввести в эксплуатацию.

Сложность в отношении объектов с данным статусом в том, что:

  • отсутствует специальное правовое регулирование;
  • термин упоминают в ряде законов, но общеотраслевого определения социально значимых объектов нет.

Тем не менее, в законе о банкротстве присутствуют особые указания в отношении подобного имущества, а застройщики по ДДУ вправе использовать средства дольщиков на возведение социально значимых объектов.

Кроме того, МЧС России ведет особый контроль объектов, которые связаны с круглосуточным пребыванием граждан – людей с ограниченными возможностями, временно недееспособных и т. д.

Это относится к больницам, интернатам, другим учреждениям в сфере здравоохранения или образования. Необходимость такого контроля связана с обеспечением безопасности.

Социально значимые объекты должны продолжать работу и при банкротстве

Социально значимые объекты – это имущество, в отношении которого в законе о банкротстве присутствуют особые указания. Согласно закону решение о том, что должник прекращает деятельность, не должно повлечь прекращение функционирования таких объектов (п. 6 ст.

129 закона № 127-ФЗ от 26.10.2002). При этом в статье фигурирует перечень социально значимых объектов, его применяют не только в ситуациях, которые связаны с банкротством, но и в широкой практике.

Помимо различных образовательных, медицинских и культурных учреждений, к подобным относят объекты:

  • коммунальной инфраструктуры, которые связаны с системами жизнеобеспечения. В частности, это объекты водо-, тепло-, газо- и энергоснабжения, водоотведения, очистки сточных вод, а также с хранением, переработкой и утилизацией различных отходов;
  • необходимые для освещения территорий городских и сельских поселений;
  • созданные для благоустройства территорий.

Банкротство той или иной компании не должно прекращать работу объектов данного типа. Закон это запрещает. Кроме того, в п. 4 ст.

132 закона о банкротстве присутствуют указания по поводу продажи таких объектов. Торги в отношении подобного имущества проводят в соответствии со ст. 110 закона.

При этом покупатель обязан:

  • поддерживать надлежащее состояние объекта,
  • обеспечить продолжение его эксплуатации по целевому назначению,
  • выполнять иные требования закона в отношении таких объектов.

Если покупатель нарушит эти условия, суд расторгнет договор о передаче социально значимого объекта ему в собственность. Заявление об этом подает местная администрация.

После того, как договор аннулируют, объект передают в собственность муниципального образования. Покупателю возместят стоимость объекта из местного бюджета (п. 4.2. ст.

132 закона № 127-ФЗ).

Если объект не продали в порядке, который определил закон, то его передают местным властям в муниципальную собственность (п. 5 ст. 132 закона № 127-ФЗ). Арбитражный суд выносит соответствующее определение (п. 6 ст. 132 закона № 127-ФЗ).   

На деньги дольщиков можно строить социально значимые объекты

В 2017 году внесли изменения в Федеральный закон от 30.12.2004 № 214-ФЗ (закон об участии в долевом строительстве). В том числе расширили список объектов, которые застройщик вправе возвести на средства дольщиков (ст. 18 закона № 214-ФЗ).

Раньше застройщику было прямо запрещено возмещать затраты на строительство таких объектов за счет средств дольщиков. Поправки разрешили использовать эти деньги для строительства школ, детских садов, дорог и т. п. (п. 9 ст. 18 закона № 214-ФЗ).

Сведения о своде правил

1. Разработан Министерством регионального развития Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации.

2. Внесен Техническим комитетом по стандартизации ТК 465 «Строительство».

3. Подготовлен к утверждению Департаментом архитектуры, строительства и градостроительной политики Министерства регионального развития Российской Федерации.

4. Утвержден и введен в действие Приказом Министерства регионального развития Российской Федерации от 5 июля 2011 г. № 320 и введен в действие с 20 сентября 2011 г.

5. Зарегистрирован Федеральным агентством по техническому регулированию и метрологии (Росстандарт).

Информация об изменениях к настоящему своду правил публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего свода правил соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте разработчика (Минрегион России) в сети Интернет.

Инженерно-техническая укрепленность: классы защиты

— Гипсолитовые, гипсобетонные толщиной не менее 75 мм;

— Щитовые деревянные конструкции толщиной не менее 75 мм;

— Конструкции из бревен или бруса толщиной 100 мм;

— Каркасные перегородки толщиной не менее 20 мм с обшивкой металлическими, в том числе профилированными листами толщиной не менее 0,55 мм;

— Кирпичные перегородки толщиной 138 мм;

— Перегородки из легких теплоизоляционных бетонов толщиной не менее 300 мм;

— Внутренние стеновые панели толщиной 100 мм;

— Пустотные железобетонные конструкции толщиной 160 мм;

— Перегородки из стеклопрофилита и стеклоблоков.

Строительные конструкции 2 класса защиты (средняя степень защиты от проникновения):

— Конструкции из бревен или бруса толщиной не менее 200 мм;

— Кирпичные стены толщиной 250 мм;

— Пустотные железобетонные плиты толщиной 220 мм, 260 мм, 300 мм из легких бетонов и толщиной 160 мм из тяжелых бетонов;

— Сплошные железобетонные перекрытия толщиной 120 мм и 160 мм из легких бетонов;

— Стеновые наружные панели по ГОСТ 11024-84, внутренние панели, блоки стеновые из легких бетонов толщиной от 100 до 300 мм;

— Стены из монолитного железобетона, изготовленные из тяжелых бетонов, толщиной до 100 мм;

— Строительные конструкции 1 класса защиты, усиленные стальной сеткой с толщиной прута 8 мм и с ячейкой не более 100100 мм;

— Кирпичные стены толщиной более 380 мм;

— Пустотные железобетонные плиты толщиной 220 мм, 260 мм, 300 мм из тяжелых бетонов;

— Сплошные железобетонные перекрытия толщиной 120 мм и 160 мм из тяжелых бетонов;

— Стеновые наружные панели, внутренние панели, блоки стеновые из легких бетонов толщиной более 300 мм;

— Стеновые панели наружные, панели внутренние, блоки стеновые и стены из монолитного железобетона из тяжелых бетонов толщиной от 100 до 300 мм;

— Строительные конструкции 1 класса защиты, усиленные стальной сваренной в соединениях решеткой из прута диаметром не менее 10 мм с ячейкой не более 150×150 мм;

— Строительные конструкции 2 класса защиты, усиленные стальной сеткой с диаметром прута 8 мм и ячейкой не более 100×100 мм.

Категория значимости объекта КИИ.

Категория значимости объекта КИИ – главный показатель объектов КИИ, определение значимости которого задает вектор дальнейших работ для выполнения требований ФЗ 187 о Безопасности КИИ. В подпункте «д» пункта 5 Постановления Правительства №127 (далее –ПП127) этот этап категорирования формулируется так – «Оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры»

Часто компании, проводя предварительную оценку, ошибаются с определением категории значимости объекта КИИ. Неправильное определение категории, как испорченный компас, может завести в такие дебри категорирования, что выбраться будет гораздо сложнее, чем зайти. Ошибочное определение категории значимости объекта КИИ обусловлено, в первую очередь, отсутствием методик для определения значений показателей критериев значимости и, как следствие, на работы по оценке влияет субъективное мнение участников комиссии.

И представьте, какую необходимо иметь фантазию при подготовке ФОРМЫ НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ, определенной пунктом 8.3 приказа 236 от 22.12.2017, где говорится о необходимости привести обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту. Опишем некоторые моменты, с которыми столкнулись наши специалисты на примере различных компаний.

Ответственность

274.1Федеральным Законом

  • создание, распространение и использование программ для неправомерного воздействия на КИИ;
  • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;
  • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;
  • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;
  • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

вынесеноосудиливынесен

  • Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.
  • Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.

другие новости


20.09.2021  |  17:55

На трассе М-5 «Урал» возводят 5 мостовых сооружений


20.09.2021  |  17:21

Аэропорт Стригино и железная дорога поборются за пассажиров


20.09.2021  |  16:38

В Крыму создадут электрозарядную инфраструктуру


20.09.2021  |  15:13

Школы ЯНАО оснастят видеонаблюдением и Wi-Fi


20.09.2021  |  13:46

Строительство М-12 в Московской обл. будет завершено в 2024 году


20.09.2021  |  12:47

В Пермском университете в результате стрельбы погибли 8 человек


20.09.2021  |  11:39

Российское ПО обеспечивает киберзащиту предприятий ОПК


20.09.2021  |  10:17

«Автодор» протестирует движение беспилотников по ЦКАД


20.09.2021  |  09:18

В 2021 году в Москве построено 65,2 км дорог


17.09.2021  |  17:40

В 2021 г. число комплексов ФВФ в Самарской обл. вырастет до 1701


17.09.2021  |  16:43

На дорогах ФКУ Упрдор «Кавказ» – 337 искусственных сооружений


17.09.2021  |  14:18

Юбилейная конференция ТБ-2021 завершена: первые итоги

Мероприятия

X Всероссийская конференция «Транспортная безопасность и технологии противодействия терроризму»

Нижний Новгород | 14-16 сентября 2021 года

Юбилейная Конференция по ТБ-2021 пройдет традиционно в сентябре и станет ключевой площадкой для обсуждения требований действующего законодательства в сфере обеспечения транспортной безопасности и поиска путей их реализации.

Конференция «Цифровизация транспорта 2021. Процесс трансформации: оценка и перспективы»

Москва | 21 сентября 2021 года

На мероприятии встретятся эксперты рынка, представители топ-менеджмента ведущих российских и зарубежных компаний, лидеры мнений, чтобы обсудить ключевые вопросы развития транспортной инфраструктуры и вопросы цифровизации отрасли.

Ежегодная конференция для проектировщиков видеонаблюдения PROIPvideo2021

Москва, Holiday Inn Sokolniki | 22 Сентября 2021 года

Уникальное отраслевое мероприятие для обмена опытом и внедрения лучших практик. Для PROектировщиков IP-videoнаблюдения, в котором темы докладов определяют участники. Отличная возможность в рамках одного мероприятия получить полную и исчерпывающую информацию о всех аспектах построения систем видеонаблюдения.

Кейс №2. Разделяй и властвуй.

Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 9 (Возникновение ущерба бюджетам Российской Федерации) можно получить в финансовом подразделении путем оценки прибыли предприятия и налоговых отчислений.

Результат: Было определено, что предполагаемый компьютерный инцидент приведет к остановке производства. Период простоя составит до 5 дней в случае, если оборудование не будет повреждено, и до 20 дней, если оборудование выйдет из строя.

Ошибка: И в этом случае была допущена аналогичная ошибка из кейса №1. В случае проведения работ по категорированию объектов КИИ и определения категорий значимости объектов КИИ все показатели необходимо рассматривать через призму компьютерного инцидента и делать это необходимо на конкретном объекте КИИ, а не на всем предприятии в целом.

Вывод: Сумма ущерба от простоя оцениваемого объекта и стоимости поврежденного оборудования оказалась в разы меньше первоначальной оценки специалистов предприятия, т.к. оценка проводилась в разрезе конкретного объекта и не всего предприятия в целом.

Итог: Отсутствие категории вместо 3-й категории.

Безопасность значимых объектов КИИ

Приказ

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений (компьютерных атак);
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • планирование мероприятий по обеспечению безопасности;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • реагирование на инциденты информационной безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

Кейс №1. Доверяй, но проверяй

Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 1 (Причинение ущерба жизни и здоровью людей) критериев значимости, можно получить в декларации промышленной безопасности (документы из пункта г). Указанные в декларации значения соответствовали 2 категории значимости объекта КИИ.

Декларации промышленной безопасности — документ, определенный в ст.14 Федерального закона от 21.07.1997 N 116-ФЗ «О промышленной безопасности опасных производственных объектов». В декларации представлена оценка риска аварии и связанной с нею угрозы; анализ достаточности принятых мер по предупреждению аварий, по обеспечению готовности организации к эксплуатации опасного производственного объекта в соответствии с требованиями промышленной безопасности, а также к локализации и ликвидации последствий аварии на опасном производственном объекте; разработку мероприятий, направленных на снижение масштаба последствий аварии и размера ущерба, нанесенного в случае аварии на опасном производственном объекте.

Результат: В декларации были описаны сценарии аварии с физическим разрушением технологического оборудования и определены последствия, связанные с этим сценарием. Сценарии, связанные с компьютерными инцидентами, в декларациях не описываются.

Ошибка: Специалисты упустили ключевой момент. Все показатели для определения категории необходимо рассматривать через призму компьютерных инцидентов.

Вывод: Технологический процесс выстроен таким образом, что отказ АСУ не приведет к последствиям, описанных в декларации сценариев. Максимально возможные последствия при возникновении компьютерного инцидента это остановка производства, но никак не физические разрушения. Таким образом вместо 3 категории, специалисты предприятия присвоили себе 2 категорию, таким образом сами себе завысили категорию значимости объекта КИИ.

Итог: 3-я категория вместо 2-й категории.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector