Вопросы построения защиты объектов КИИ являются актуальными для специалистов по ИБ с 2018 г. Продолжая серию статей, рассмотрим вопросы обеспечения безопасности КИИ, актуальные на середину 2023 г.
https://rtmtech.ru/wp-content/uploads/2023/05/RTM-Group-Oprosnyj-list-Kategorirovanie-KII-2023.pdf
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Пересмотр категории значимости
В соответствии с Правилами категорирования объектов КИИ (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127) субъект КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости установления категорий значимости объектам КИИ (п. 21 Правил категорирования объектов КИИ).
В конце прошлого года, 29 декабря, вступили в силу изменения в Перечень показателей критериев значимости объектов КИИ и их значений (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127), это значит, что все субъекты КИИ должны пересмотреть установленные категории значимости или их отсутствие у принадлежащих им объектов КИИ – именно пересмотреть, а не провести повторное категорирование, то есть повторять всю процедуру полностью не требуется.
Как провести пересмотр установленных категорий значимости с минимальными трудозатратами?
Алгоритм действий комиссии по категорированию может быть следующим.
Шаг 1. Анализируем текущие категории значимости объектов КИИ. Если по итогам анализа выясняется, что все объекты КИИ имеют первую категорию значимости, то (реально) пересмотр категории не требуется, так как:
- ниже категорию значимости сделать невозможно, поскольку внесенные в перечень показателей критериев значимости изменения только снизили пороговые значения;
- объект первой категории значимости, поэтому достаточно одного показателя критериев значимости, по которому присвоена наивысшая категория, расчет по остальным показателям не проводится (это прямо указано в п. 6 Правил категорирования).
Однако формально (процедурно) пересмотр категории значимости сделать необходимо, поэтому нужно провести заседание постоянно действующей комиссии и документально зафиксировать, что изменения показателей критериев значимости не приводят к смене категории значимости.
На этом работа по пересмотру категории значимости для субъектов КИИ, владеющих только объектами первой категории, заканчивается.
Если есть объекты КИИ второй и третьей категории значимости или без категории, то необходимо проделать следующие дальнейшие шаги.
Шаг 2. Оцениваем применимые к объектам КИИ показатели критериев значимости. В некоторых случаях (для некоторых объектов КИИ) изменения произошли только в тех показателях, в отношении которых ранее была обоснована их неприменимость. Например, завод по производству металлических изделий: транспортные и государственные услуги не оказывает, оборонно-промышленным, государственным и стратегическим предприятием не является, в гособоронзаказе не участвует, в финансовой сфере не функционирует, а нарушение функционирования конкретного объекта КИИ (не являющегося значимым) экономический ущерб деятельности компании не наносит и на выплаты в бюджет не влияет.
Шаг 3. Проводим оценку влияния изменений на актуальные для объектов КИИ показатели критериев значимости и их значения, то есть никакой переоценки угроз, критических процессов и т.п., как предусмотрено процедурой категорирования, делать не обязательно. Неактуальные (см. шаг 2) показатели критериев значимости также анализировать не требуется.
Шаг 4. Принятые решения фиксируются актом категорирования в случае изменения категории значимости или иным документом (например, протоколом работы комиссии) в случае, если в рамках предыдущих шагов было принято решение, что изменение категории значимости (решения об ее отсутствии) не происходит.
Шаг 5. После утверждения актов во ФСТЭК России направляются (обновленные) сведения о категорировании по установленной форме.
Внесение изменений в объекты КИИ
С января 2022 г. для субъектов КИИ действует правило [1], что в случае изменения сведений об объекте КИИ субъект КИИ направляет во ФСТЭК России новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по установленной форме [2].
Вопросы, которые возникают в части предоставления указанных изменений: нужно отправлять всю форму или только те ее части, которые касаются внесенных изменений (например, изменился состав компонентов объекта КИИ); нужно отправлять снова все сведения или только раздел 5 "Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры"? В самих Правилах категорирования не указано, как правильно делать. Моя практика в части взаимодействия с регулятором по данному вопросу показывает, что ФСТЭК России допускает предоставление только той части сведений, которая касается именно внесенных в объект КИИ изменений (в указанном примере это означает, что достаточно отправить лишь раздел 5 сведений).
Следующий вопрос, который возникает у субъектов КИИ: как выстроить процесс актуализации этих сведений? Если организация/орган/учреждение имеют небольшое количество объектов КИИ или эти объекты КИИ относятся к автоматизированным системам управления технологическими процессами, в которых изменения происходят нечасто, то достаточно включения в локальные нормативные акты требования к подразделениям владельцами этих объектов о немедленном уведомлении об изменениях специалистов по информационной безопасности и проведения периодической инвентаризации этих объектов.
Если же масштаб организации большой и изменения в системах происходят часто (обычно характерно для информационных и информационно-телекоммуникационных систем), то, помимо требований в организационно-распорядительных документах, потребуется также внедрение автоматизированной системы контроля изменений в объектах КИИ, а также значительное увеличение трудозатрат специалистов по информационной безопасности на работу со сведениями о категорировании, что можно использовать как основание для увеличения штатной численности.
Еще один вопрос – мониторинг своевременного и полного предоставления сведений об объектах КИИ. Здесь важно обратить внимание на следующие момент:
- мониторинг проводится отраслевыми регуляторами (Минпромторгом России, Минэнерго России, Минцифры России и т.п.) в отношении субъектов КИИ, функционирующих в регулируемой ими отрасли, и своих подведомственных организаций, являющихся субъектами КИИ, то есть не "подведы" осуществляют мониторинг, а сами отраслевые регуляторы;
- мониторинг осуществляется регулярно путем запроса сведений о категорировании и их анализа отраслевым регулятором, то есть, по сути, это своего рода документарные проверки;
- актуальность и достоверность сведений об объектах КИИ может подтверждаться отраслевым регулятором путем ознакомления с объектами КИИ по месту их нахождения, то есть, по сути, при наличии вопросов, появившихся в ходе "документарной проверки", отраслевой регулятор вправе осуществить выездную;
- при выявлении нарушений отраслевой регулятор направляет сведения об этом во ФСТЭК России не позднее 30 дней со дня выявления;
- к мониторингу (в части оценки актуальности и достоверности сведений) отраслевые регуляторы могут привлекать подведомственные им организации, имеющие лицензию на работу со сведениями, составляющими государственную тайну, и/или деятельность по технической защите конфиденциальной информации, информация о которых размещена на официальном сайте отраслевого регулятора, то есть "подведы" не обязаны (и не вправе) проводить мониторинг субъектов КИИ, а могут быть участниками этого процесса совместно с отраслевым регулятором, причем только в части оценки, то есть правом запрашивать информацию они не наделены;
- порядок проведения оценки актуальности и достоверности сведений определяется отраслевым регулятором, то есть должен быть нормативно-правовой акт отраслевого регулятора, который определяет порядок проведения оценки.
Аккредитация центров ГосСОПКА
Вопрос, который волнует многих, – это нужна ли аккредитация корпоративных (ведомственных) центров ГосСОПКА.
В 2022 г., после выхода Указа Президента РФ от 01.05.2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", ФСБ России объявила о необходимости аккредитации центров ГосСОПКА. Аккредитация должна стандартизовать действия сотрудников центров и улучшить взаимодействие между ними.
В силу того что аккредитация несет для владельцев центров ГосСОПКА дополнительные трудовые и финансовые издержки, многие субъекты КИИ негативно восприняли необходимость аккредитации.
Однако следует отметить, что нормы Указа Президента РФ от 01.05.2022 г. № 250 не обязывают проводить аккредитацию абсолютно всех центров ГосСОПКА. Требование аккредитации распространяется только на те центры, которые оказывают услуги органам власти, учреждениям и организациям (в том числе субъектам КИИ), перечисленным в п. 1 Указа Президента РФ от 01.05.2022 № 250. Иными словами, требования о необходимости аккредитации не распространяются на:
- центры ГосСОПКА, реализующие мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты исключительно в рамках своей организации (органа, учреждения);
- центры ГосСОПКА, оказывающие услуги юридическим лицам, не входящим в список, перечисленный в п. 1. Например, если в холдинговой структуре есть центр ГосСОПКА, имеющий лицензию ФСТЭК России, то он вправе оказывать услуги своим дочерним (зависимым) организациям, не являющимся субъектами КИИ (стратегическими акционерными обществами, системообразующими организациями и т.п. [3]) без аккредитации.
Таким образом, в части "собственных" центров ГосСОПКА никакие дополнительные мероприятия по аккредитации проводить не обязательно. Относительно коммерческих компаний, имеющих намерения оказывать услуги центров ГосСОПКА неопределенному кругу юридических лиц, требование о наличии аккредитации будет способствовать росту их компетенций и созданию условий для качественного оказания услуг.
Технологическая независимость
Одна из самых острых на сегодняшний день (возможно, на ближайшие годы) проблем – это технологическая независимость (так называемое импортозамещение) критической информационной инфраструктуры.
В настоящий момент установлены сжатые сроки перехода на отечественное ПО.
Субъекты КИИ подготовили (по крайней мере, должны были до 18 марта 2023 г.) планы перехода и отправили их в Минцифры России и отраслевым регуляторам [4]. Однако реализация данных планов сопряжена с рядом проблем, которые, по оценкам экспертов, могут привести к невозможности перехода на отечественное ПО в установленные сроки.
Обычный цикл внедрения нового (с точки зрения организации) ПО – непростой и длительный процесс, включающий следующие этапы (см. табл.). При большом количестве разных (с точки зрения архитектуры и используемого ПО) значимых объектов КИИ их полный перевод на отечественное ПО в течение двух лет является действительно серьезной проблемой.
Мероприятиями по ускорению сроков перехода на отечественное ПО могут быть:
- Замена этапа пилотирования стендовыми испытаниями либо его исключение.
- По возможности осуществлять проектирование самостоятельно с консультативной помощью разработчика ПО, без привлечения подрядчиков-проектировщиков (экономит много времени).
- На этапе закупки готовить компонентную базу (железо) для внедрения ПО, при условии, что устанавливается на новые технические средства.
- Начинать проводить обучение персонала на этапе приемочных испытаний.
В рамках данного раздела я рассмотрел только вопросы перехода на отечественное программное обеспечение. Следующим шагом в части технологической независимости, который ждет субъекты КИИ, будет переход на отечественную электронную компонентную базу. В настоящее время правила и подходы к вопросу перехода на отечественную электронную компонентную базу еще только формируются, поэтому оставим их для следующих статей.
- Введено постановлением Правительства РФ от 24.12.2021 г. № 2431, скорректировано постановлением Правительства РФ от 20.12.2022 г. № 2360.
- Форма установлена приказом ФСТЭК России от 22.12.2017 г. № 236.
- См. пункт 1 Указа Президента РФ от 01.05.2022 № 250.
- В соответствии с требованиями, установленными постановлением Правительства РФ от 22.08.2022 г. № 1478 и Методическими рекомендациями Минцифры России от 18 января 2023 г. № 21.
Темы:ФСТЭКГосСОПКАКИИЧек-листЖурнал "Информационная безопасность" №2, 2023
Станьте автором журнала!Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
- 6 мифов о безопасной разработке и сертификации ПОДмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАНЗа последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
- Управление уязвимостями: ожидание – реальность и рекомендацииСергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
Подсказки по выполнению 187-ФЗ. План действий
22 октября, 2018
Время, отведенное ФСТЭК и ФСБ на организацию выполнения требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.
Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания приветствуется.
name="'more'">
Часть.2 Планирование
Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время.
Элберт Хаббард
План мероприятий
по обеспечению безопасности объектов КИИ
№ пп
Мероприятие
Уч-ки
Срок
Посл-ть
Основание
Результат
Прим-е
1
Создание Комиссии по учету и категорированию КИИ
1.1.
Разработка положения о Комиссии КИИ
Проект Положения о комиссии КИИ
-
1.2.
Определение персонального состава Комиссии КИИ
п.11 ПП РФ от 08.02.2018 №127 [1]
Проекты приказов о назначении персонального состава комиссии по категорированию КИИ
1.3.
Утверждение Приказа о Комиссии КИИ и Положения
после выполнения п.1.1 и 1.2
п.11 ПП РФ от 08.02.2018 №127
Создана Комиссии КИИ
-
2
Учет объектов КИИ
2.1.
Определение ИС/АСУ/ИКТС, которые на праве собственности, аренды или на ином законном основании принадлежат принадлежащих организации
Комиссия КИИ;
после выполнения п.1.3
п.14 ПП РФ от 08.02.2018 №127
Реестр ИС
-
2.2.
Определение сфер деятельности организации,
автоматизированными каждой ИС/АСУ/ИКТС, определенной по результатам выполнения п. 2.1
Комиссия КИИ;
после выполнения п.2.1
п.14 ПП РФ от 08.02.2018 №127
Перечень сфер деятельности
-
2.3.
Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.2, с целью определения процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.
Комиссия КИИ;
после выполнения п.2.2
п.14 ПП РФ от 08.02.2018 №127
Перечень процессов
-
2.4.
Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.3, с целью определения критичных процессов
Комиссия КИИ;
после выполнения п.2.3
п.14 ПП РФ от 08.02.2018 №127
Перечень критических процессов
-
2.5.
Формирование проектов Перечней объектов КИИ в организации
Комиссия КИИ;
после выполнения п.2.3
п.14 ПП РФ от 08.02.2018 №127
Проект Перечней объектов КИИ
-
2.6.
Рассмотрение проектов Перечней объектов КИИ на заседаниях Комиссий КИИ организации
Комиссия КИИ
после выполнения п.2.3
Откорректированные Перечни объектов КИИ
-
2.7.
Направление на согласование в ….. проектов Перечней объектов КИИ организации
после выполнения п.2.6
п.15 ПП РФ от 08.02.2018 №127
Перечни объектов КИИ согласованы с …..
Этап для подведомственных организаций
2.8.
Утверждение согласованных проектов Перечней объектов КИИ
после выполнения п.2.7
п.15 ПП РФ от 08.02.2018 №127
Утвержденный Перечень объектов КИИ, подлежащих категорированию
-
2.9.
Уведомление ФСТЭК России о Перечнях объектов КИИ
после выполнения п.2.8
п.15 ПП РФ от 08.02.2018 №127
Исходящее письмо во ФСТЭК России
Уведомление ФСТЭК России должно быть осуществлено в течение 5 рабочих дней со дня утверждения перечня
3
Категорирование [2] объектов КИИ
3.1.
Определение категории значимости каждого объекта КИИ согласно утвержденным Перечням объектов КИИ
Комиссия КИИ
после выполнения п.2.8
п.14 ПП РФ от 08.02.2018 №127
Протокол оценки значимости объектов КИИ
3.2.
Создание акта присвоения категории значимости объекту КИИ
Комиссия КИИ;
после выполнения п.3.1
п.16 ПП РФ от 08.02.2018 №127
Проекты актов категорирования объектов КИИ
3.3.
Подготовка уведомления ФСТЭК России о результатах категорирования (присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий)
Комиссия КИИ;
после выполнения п.3.1
п.18 ПП РФ от 08.02.2018 №127
Проекты форм уведомления
3.4.
Утверждение актов
Ген
директор
после выполнения п.3.2
п.16 ПП РФ от 08.02.2018 №127
Акты категорирования объектов КИИ
3.5.
Направление во ФСТЭК России уведомления о результатах категорирования объектов КИИ
после выполнения п.3.4
п.17 ПП РФ от 08.02.2018 №127
Исходящие письма в ФСТЭК России о результатах категорирования объектов КИИ
Уведомление ФСТЭК России должно быть осуществлено в течение в течение 10 дней со дня утверждения акта.
4
Управление [3] инцидентами (УИ)
4.1.
Разработка Регламента УИ
параллельно с п.1
- ст. 9 187-ФЗ
- мера ИНЦ.0 приказа ФСТЭК России от 25.12.2017 №239 [4]
Проект Регламента УИ
-
4.2.
Утверждение Регламента УИ
после выполнения п.4.1
ст. 9 187-ФЗ
Регламент УИ
-
4.3.
Определение персонального состава участников процесса УИ, а также их назначение нормативным актом по организации
после выполнения п.4.2 и п.2.8
ст. 9 187-ФЗ
Приказ о назначении участников процесса УИ
После утверждения перечня объектов КИИ, т.к. выявление инцидентов ИБ должно осуществляться в отношении всех объектов КИИ (вне зависимости от результатов категорирования)
4.4
Непрерывный мониторинг и выявление инцидентов ИБ
Участники процесса УИ
после выполнения п.4.3 и п.5.2
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Отчетность по инцидентам ИБ
Создание подсистемы мониторинга и выявления инцидентов ИБ осуществляется в рамках п. 5 настоящего Плана
4.5
Уведомление ФСБ России об инцидентах ИБ, выявленных в отношении объектов КИИ не являющихся значимыми, по электронной почте
Участники процесса УИ
после выполнения п.4.3 и п.5.2
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Исходящие письма в ФСБ России
Данный способ уведомления может осуществляться только для объектов КИИ, не являющихся значимыми, в том числе, без их подключения к ГосСОПКА.
Подключение к ГосСОПКА осуществляется в добровольном порядке по решению субъекта КИИ.
4.6
Уведомление НКЦКИ об инцидентах ИБ, выявленных в отношении значимых объектов КИИ с использованием ГосСОПКА
- Участники процесса УИ
На постоянной основе
после выполнения п.4.4 и п.5.4
ст. 9 187-ФЗ
приказ ФСБ от 24.07.2018 №367
Формы автоматизированного уведомления
Данный способ уведомления должен осуществляться в обязательном порядке для всех значимых объектов КИИ.
Выполнение субъектом КИИ обязанности уведомления вступило в законную силу с 01.01.2018 г., но может быть реализована только с момента внесения объекта КИИ в Реестр ФСТЭК.
Подключение системы безопасности значимых объектов КИИ к ГосСОПКА осуществляется в рамках п. 5 настоящего Плана.
4.7
Разработка Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
-
НКЦКИ
после выполнения п.3.2
п.8 Порядка [5] информирования ФСБ России о компьютерных инцидентах
Проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
Регламент применяется только в отношении значимых объектов КИИ.
4.8
Согласование Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных с 8 Центром ФСБ России
8 Центр ФСБ России
после выполнения п.4.7
п.8 Порядка информирования ФСБ России о компьютерных инцидентах
Согласованный проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
-
4.9
Утверждение Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
Ген
директор
после выполнения п.4.8
- Утвержденный Регламент взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак
- Приказ о назначении ответственного за взаимодействие с НКЦКИ
Регламент должен быть утвержден только при наличии у субъекта КИИ значимых объектов КИИ
4.10
Разработка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
после выполнения п.4.9
п.6 Порядка информирования ФСБ России о компьютерных инцидентах
Проект План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
4.11
Утверждение Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
Ген
директор
после выполнения п.4.10
- Утвержденный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
- Приказ о назначении ответственных за выполнение Плана
4.12
Корректировка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
после выполнения п.7.11
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Актуальный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
Осуществляется по результатам проведения тренировок по реагированию на компьютерные атаки (п.7.13)
4.13
Информирование НКЦКИ о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак
Ответственный за взаимодействие с НКЦКИ
после выполнения п.3.4
п. 13 Порядка информирования ФСБ России о компьютерных инцидентах
Исходящие письма в НКЦКИ
Информирование должно быть осуществлено не позднее 48 часов с момента завершения мероприятий и только в отношении значимых объектов КИИ.
5
Создание и модернизация системы безопасности значимых объектов КИИ
5.1
Проектирование (разработка) систем безопасности значимых объектов КИИ
после выполнения п.3.1
- ст. 10 187-ФЗ;
- п.8 приказа ФСТЭК России от 21.12.2017 № 235 [6] ;
- п.2 приказа ФСТЭК России от 25.12.2017 №235;
- приказ ФСТЭК России от 25.12.2017 №239
Документы техно-рабочего проекта по созданию систем безопасности
-
5.2
Внедрение систем безопасности значимых объектов КИИ
после выполнения п.5.1
- ст. 10 187-ФЗ;
- п.8 приказа ФСТЭК России от 21.12.2017 № 235
- п.12.7 приказа ФСТЭК России от 25.12.2017 №239
- Акты монтажа и настройки СЗИ;
- Программа предварительных испытаний;
- Акт и Протокол проведения предварительных испытаний;
- Акт ввода в опытную эксплуатацию;
Журнал проведения опытной эксплуатации;
- Эксплуатационная документация (в части обеспечения безопасности);
- Организационно-распорядительная документация по безопасности
-
5.3
Аттестация систем безопасности значимых объектов КИИ
после выполнения п.5.2
- п.10 приказа ФСТЭК России от 21.12.2017 № 235
- Программа и методика испытаний;
- Протокол проведения испытаний;
- Заключение;
- Аттестат соответствия;
Результаты анализа уязвимостей и принятия мер по их устранению;
- Акт ввода в промышленную безопасность
-
5.4
Подключение систем безопасности значимых объектов КИИ к ГосСОПКА
после выполнения п.3.1
ст. 9 187-ФЗ
- Акт подключения
- Согласие НКЦКИ на установку средств ГосСОПКА
- Приказ о назначении лиц, ответственных за эксплуатацию средств ГосСОПКА
- Проектная документация по установке средств ГосСОПКА (места размещения, схемы электроснабжения, пояснительная записка и т.д.)
- Эксплуатационная документация на средства ГосСОПКА
Субъект КИИ после приема в эксплуатацию средств информирует об этом НКЦКИ
5.5
Модернизация (совершенствование) систем безопасности значимых объектов КИИ
после выполнения п.5.3
п.37 приказа ФСТЭК России от 21.12.2017 № 235
- План модернизации
Осуществляется по результатам выполнения п. 7 настоящего Плана
6
Повышение уровня знаний работников предприятия по безопасности значимых объектов КИИ
6.1
Разработка Регламента повышений уровня знаний
параллельно с п.1
- п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235;
- мера ИПО.0 приказа ФСТЭК России от 25.12.2017 №239
- Проект Регламента повышений уровня знаний
-
6.2
Утверждение Регламента повышений уровня знаний
Ген
директор
после выполнения п.6.1
- Утвержденный Регламент повышений уровня знаний
-
6.3
Определение персонального состава участников процесса
повышения уровня знаний
после выполнения п.6.2 и п.3.4
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Приказ о назначении участников процесса повышения уровня знаний
6.4
Формирование Плана проведения мероприятий по повышению уровня знаний
после выполнения п.6.3
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Плана проведения мероприятий по повышению уровня знаний
-
6.5
Утверждение Плана проведения мероприятий по повышению уровня знаний
Ген
директор
после выполнения п.6.4
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- План проведения мероприятий по повышению уровня знаний
-
6.6
Проведение мероприятий по повышению уровня знаний
Участники процесса
после выполнения п.6.5
п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235
- Протоколы и журналы учета мероприятий по повышению уровня знаний
7
Внутренний контроль значимых объектов КИИ
7.1.
Разработка Регламента аудита ИБ
параллельно с п.1
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Регламента аудита ИБ
-
7.2
Утверждение Регламента аудита ИБ
Ген
директор
после выполнения п.7.1
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Регламент аудита ИБ
-
7.3
Определение персонального состава участников процесса аудита ИБ
после выполнения п.7.2 и п.3.4
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Приказ о назначении участников процесса аудита ИБ и комиссии
7.4
Формирование Программы проведения аудитов ИБ
после выполнения п.7.3
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Проект Программы проведения аудитов ИБ
7.5
Утверждение Программы проведения аудитов ИБ
после выполнения п.7.4
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Программа проведения аудитов ИБ
-
7.6
Проведение аудита ИБ
после выполнения п.7.5
п.36 приказа ФСТЭК России от 21.12.2017 № 235
- Планы проведения аудитов ИБ;
- Протоколы проведения аудитов ИБ;
Акты проведения аудитов ИБ
7.7
Формирование плана устранения выявленных несоответствий и уязвимостей
после выполнения п.7.6
- Планы корректирующих и превентивных мероприятий
7.8
Устранение выявленных несоответствий и уязвимостей
после выполнения п.7.7
- Протоколы и акты устранения
7.9
Разработка Плана тренировок по отработке мероприятий Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
после выполнения
п.4.12
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Проект Плана тренировок по отработке мероприятий
7.10
Утверждение Плана тренировок по отработке мероприятий
Ген директор
после выполнения
п.7.9
- План тренировок по отработке мероприятий
- Приказ о назначении ответственных за выполнение Плана
-
7.11
Проведение мероприятий Плана тренировок по отработке мероприятий
после выполнения
п.7.10
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Отчеты о результатах
7.12
Разработка предложений по корректировке Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
после выполнения
п.7.11
п.7 Порядка информирования ФСБ России о компьютерных инцидентах
Перечень предложений
-
8
Обеспечение бесперебойной эксплуатации значимых объектов КИИ
8.1
Разработка Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций
после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций
-
8.2
Утверждение Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций
Ген
директор
после выполнения п.8.1
- План мероприятий по обеспечению безопасности в случаи нештатных ситуаций
- Приказ о назначении ответственных за выполнение Плана
-
8.3
Разработка Порядка анализа возникших нештатных ситуаций
после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Порядка анализа возникших нештатных ситуаций
-
8.4
Утверждение Порядка анализа возникших нештатных ситуаций
Ген
директор
после выполнения п.8.4
Порядок анализа возникших нештатных ситуаций
-
8.5
Разработка Программы обучения и тренировки персонала на случай действий при нештатных ситуациях
после выполнения п.3.1
- п.13.6 приказа ФСТЭК России от 25.12.2017 №239
Проект Программы обучения и тренировки персонала на случай действий при нештатных ситуациях
-
8.6
Утверждение Программы обучения и тренировки персонала на случай действий при нештатных ситуациях
Ген директор
после выполнения п.8.6
Программа обучения и тренировки персонала на случай действий при нештатных ситуациях
-
8.7
Разработка Политики обеспечения действий в нештатных ситуациях
после выполнения п.3.1
мера ДНС.0 приказа ФСТЭК России от 25.12.2017 №239
Проект Политики обеспечения действий в нештатных ситуациях
-
8.8
Утверждение Политики обеспечения действий в нештатных ситуациях
Ген
директор
после выполнения п.8.8
Политика обеспечения действий в нештатных ситуациях
-
[1] Постановление Правительства РФ от 08.02.2018 №127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
[2] п.15 ПП РФ от 08.02.2018 №127: максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ
[3] Осуществляется как в отношении значимых объектов КИИ, так и в отношении объектов КИИ не являющимися таковым
[4] Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
[5] Опубликованный проект приказа ФСБ России «Об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, реагировании на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ»
[6] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
Подробнее: https://www.securitylab.ru/blog/personal/valerykomarov/345017.php
