8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°)

Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°)

  • Для кого?
    Для руководителей предприятий, относящихся к ЗОКИИ. Мы избавляем их от текущих и потенциальных проблем.
  • Цель проекта
    Радикальное снижение рисков для субъекта КИИ в целом и руководства субъекта в частности.

Условия продажи
Проведение работ требует высокого уровня принятия решений и оперирует критичными сведениями, вследствие чего взаимодействие с Заказчиком должно осуществляться на уровне руководителя субъекта КИИ, либо ответственного за защиту ЗОКИИ. Готовность к частичному аутсорсингу.

Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - услуги RTM Group
Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - от RTM Group
Узнать стоимость?
Перейти

Эксперты по обеспечению комплексной безопасности ЗОКИИ

Эксперт по обеспечению комплексной безопасности ЗОКИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Баркалов Юрий Михайлович

Баркалов Юрий Михайлович

Эксперт компьютерно-технического направления

Опыт: Экспертная работа с 1993 года. Педагогический стаж с 2011 года.

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

При выполнении работ по комплексному обеспечению безопасности для субъекта КИИ эксперты проходят несколько ключевых этапов.

1. OSINT по предприятию в целом и руководству организации

Собирается расширенный набор сведений по работе предприятия и сотрудникам организации.

Целью данного этапа является выявление источников данных, которые потенциально доступны злоумышленникам в открытых источниках.

Особый интерес на данном этапе составляют сведения о высшем руководстве и ответственных лицах субъекта КИИ.

Зачастую такие сведения содержат следующую информацию:

  1. Контактные данные
  2. Сведения о частной жизни, компрометирующие сотрудника
  3. Парольная или иная информация, напрямую связанная с информационной безопасностью

В дальнейшем будут подготовлены рекомендации по блокировке или изменению этих сведений в разрезе разных объектов (организация, сотрудник, собственник).

Рекомендации могут включать в себя:

  • Заявки на удаление или корректировку данных с ресурсов
  • Отказ от использования тех или иных учетных данных
  • Смена аутентификационных сведений
  • Зашумление информационного поля
  • Другое

Собранные данные и результаты их анализа являются базой для старта второго этапа работ.

2. Расширенное тестирование на проникновение ЗОКИИ и сбор технических данных

Проводится технический аудит безопасности, целью которого является выявление критичных проблем с безопасностью, которыми могут воспользоваться злоумышленники в настоящий момент.

Параллельно работает две команды Исполнителя:

  1. Первая команда проводит тестирование на проникновение
  2. Вторая команда (независимо от первой) собирает данные по инфраструктуре и процессам Заказчика

Сбор данных осуществляется различными способами, в зависимости от организации IT в структуре Заказчика.

Возможны комбинации следующих подходов:

  1. Анализ данных в действующих у Заказчика системах мониторинга
  2. Автоматизированный сбор сведений техническими средствами Исполнителя
  3. Ручной сбор сведений
  4. Интервьюирование

Осуществляется сбор таких данных как:

  • Применяемые аппаратные и программные решения
  • Сетевые потоки данных и маршрутизация
  • Настройки средств защиты информации
  • Регламенты по работе с IT, АСУ ТП и т. д.

В ходе проведения работ широко применяется практика экспертной инициативы. Инициатива может быть направлена на корректировку области проведения работ, изменение глубины исследования в отдельных направлениях и даже корректировку целей самих работ.

Все изменения в рамках экспертной инициативы согласуются с Заказчиком.

Результатом этапа будет перечень недостатков информационной безопасности в направлениях:

  1. Уязвимости прикладного и системного ПО
  2. Недостатки в составе и настройках средств защиты
  3. Пробелы в организации системы ИБ
  4. Компоненты «человеческого фактора»
  5. Нарушения требований регуляторов

С учетом общего перечня рисков формируется план их обработки, включая:

  • Снижение рисков (модернизация системы информационной безопасности)
  • Перенос рисков (работа с аутсорсингом/страхование)
  • Принятие рисков (требует взаимодействия с высшим руководством субъекта КИИ)

3. Документарное обеспечение в тематике КИИ (от категорирования и назначения ответственных до выстраивания процессов)

На данном этапе обрабатываются выявленные риски нарушения законодательства.

После предыдущих этапов Исполнитель обладает значительным массивом данных по работе предприятия и имеющимся процессам.

Полученные данные соотнесены с требованиями по обеспечению безопасности КИИ и иных нормативов в направлении информационной безопасности. Исполнитель готовит документы, которые необходимы для снижения регуляторных рисков с учетом особенностей функционирования Заказчика.

Одновременно разрабатываются документы по таким направлениям как:

  • КИИ
  • ПДн
  • Коммерческая тайна
  • СКЗИ
  • Взаимодействие с контрагентами
  • Другое

При разработке документации учитываются не только непосредственные требования регуляторов (ФСТЭК, ФСБ, РКН), но и богатый опыт прохождения проверок данных регуляторов, а также лучшие практики. Обязательным критерием при разработке документации является ее непротиворечивость и направленность на объективную практическую результативную безопасность.

Сформированные документы должны быть не просто подписаны Заказчиком и сложены на полку, но и пройти все этапы применения от конечных пользователей до контролирующих подразделений и высшего руководства.

4. Обучение персонала ЗОКИИ

Для субъектов со значимыми объектами требуется квалифицированный персонал – как среди сотрудников службы информационной безопасности, так и среди обычных пользователей информационных систем.

  1. Для первых – эксперты RTM Group могут проводить стажировки и повышение квалификации, основываясь не на академических программах, которые устаревают к моменту своего появления, а на практике и актуальной нормативно-правовой базе.
  2. Для повышения осведомленности остальных сотрудников возможны как обучение с нашими экспертами, так и самостоятельное повышение при помощи модуля обучения в системе MEDOED.

Объем, периодичность, программы обучения и тестирования формируются на основе собранных на этапах 1-2 сведениях и учитывают организационно-распорядительную документацию, разработанную на этапе 3.

5. Проектирование защиты значимых объектов КИИ и планирование будущих работ/поставок

На данном этапе Исполнитель готовит обязательную проектную документацию, а также планы, которые необходимы по текущим требованиям.

Проектирование ведется с учетом требований приказов ФСТЭК и практики внедрения систем защиты ЗОКИИ.

Данный этап является одним из самых ответственных с точки зрения регуляторных рисков, а также рисков некорректного бюджетирования.

Проект учитывает весь комплекс требований, которые могут предъявляться к Заказчику, в том числе:

  1. Требования регуляторов
  2. Нормативы партнеров и контрагентов
  3. Внутренний риск-аппетит Заказчика

6. Поставка оборудования и лицензий, включая средства защиты информации

Осуществляется выбор технических решений, их пилотирование и поставка.

7. Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Осуществляется ряд следующий мероприятий:

  1. Разворачивается корпоративная версия Платформы MEDOED, которая является базой для обеспечения соответствия требованиям и организации системной работы по направлению информационно безопасности
  2. Проводится обучение заинтересованных лиц Заказчика
  3. По запросу добавляются материалы в модуль повышения осведомленности

Платформа включает в себя, как минимум, следующий функционал, способный сократить время реакции и трудозатраты сотрудников ИБ:

  • Категорирование КИИ
  • Обработка персональных данных
  • Учет СКЗИ
  • Обучение персонала
  • Планирование действий сотрудников информационной безопасности

8. Постановка на постоянный аутсорсинг или ежегодный аудит безопасности ЗОКИИ

После проведения всех работ RTM Group принимает на себя обязательства по постоянному обслуживанию организации ЗОКИИ по информационной безопасности.

Доступны два основных формата обслуживания: «Ежегодный» и «Постоянный».

Почему RTM Group?

  • Большой опыт в проектировании СБИ;
  • Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
  • Высокое качество услуг, консультационная поддержка по завершении проекта.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по обеспечению комплексной безопасности ЗОКИИ

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

OSINT по предприятию в целом и руководству организации Расширенное тестирование на проникновение ЗОКИИ и сбор технических данных Документарной обеспечение в тематике КИИ Обучение персонала ЗОКИИ Проектирование защиты ЗОКИИ и планирование будущих работ/поставок Поставка оборудования и лицензий, включая средства защиты информации Создание и организация системы ИБ на базе Платформы MEDOED Постановка на постоянный аутсорсинг или ежегодный аудит безопасности ЗОКИИ Почему RTM Group?10  Заказать комплексную защиту ЗОКИИ 11  Стоимость комплексной защиты ЗОКИИ


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по обеспечению комплексной безопасности ЗОКИИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

OSINT организации или руководства

Разведка по открытым источникам с целью поиска требуемых данных или связей.
Срок проведения: 2 недели

от 250 000 руб.

Тестирование на проникновение ЗОКИИ

Тестирование системы защиты компании с целью определения наличия уязвимостей, доступных для эксплуатации злоумышленником.
Срок проведения: от 4 недель

от 500 000 руб.

Разработка ОРД по защите ЗОКИИ

Разработка комплекта документации, содержащего положения, регламенты и политики, необходимые для полного регламентирования процесса защиты ЗОКИИ.
Срок проведения: от 5 недель

от 500 000 руб.

Обучение персонала ЗОКИИ

Консультации в области защиты КИИ, обучение персонала основам безопасной работы, проведение контрольных мероприятий по итогу обучения.
Срок проведения: 4 недели

от 200 000 руб.

Проектирование и планирование защиты ЗОКИИ

Подготовка проектной документации на разрабатываемую систему безопасности ЗОКИИ.
Срок проведения: от 5 месяцев

от 1 500 000 руб.

Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Внедрение платформы MEDOED для управления процессами информационной безопасности.
Срок проведения: 4 недели

от 300 000 руб.

Аутсорсинг ИБ

Передача работ внешним исполнителям в разрезе информационной безопасности.

от 400 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Услуги для вас

Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

— Для чего необходимы работы по обеспечению безопасности
— Результат работ
— Основные этапы выполнения работ
— Описание этапов работ
— Начало работ и взаимодействие
Услуга Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

В 2020 году приказом ФСТЭК России от 20.02.2020 № 35 в Приказ № 239 внесен, в частности, пункт 29.3.2, который предъявляет требования к испытаниям по выявлению уязвимостей в программном обеспечении значимых объектов КИИ.
Услуга Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

— Подробное описание всех этапов категорирования (с примерами)
— Образцы документов по КИИ
— Какие работы необходимо выполнить после внесения в реестр КИИ?
— Для чего необходима экспертиза проведенных работ по КИИ?
Услуга Проектирование системы защиты информации

Проектирование системы защиты информации

Проектирование СБИ, как процесс, является как частью best practice, так и входит в перечень некоторых требований государственных регуляторов РФ.
Услуга OSINT: Разведка по открытым источникам

OSINT: Разведка по открытым источникам

Разведка открытых источников или OSINT является одним из направлений введения разведки путем сбора и последующего анализа информации, полученной из открытых источников.
Услуга Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

- Для каких предприятий подойдет экспресс-категорирование объектов КИИ?
- В чем отличие от стандартной услуги по категорированию?
- Этапы работы
- Ограничения и преимущества

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

15 января 2013 года был опубликован Указ Президента Российской Федерации от № 31 «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», а в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации», который вступил в силу с 1 января 2018 года, что послужило началом актуальной и глобальной работы по регулированию и контролю в направлении обеспечения безопасности объектов КИИ.
Статья Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

ФСТЭК России предоставила предварительные проекты национальных стандартов, касающихся обеспечения безопасности КИИ.
Статья На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

В данной статье рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.
Статья Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

— Что является «объектом КИИ», а что «субъектом»?
— Какие объекты КИИ подлежат категорированию?
— Пошаговый рабочий алгоритм категорирования объектов
— Какая информация понадобится для подачи во ФСТЭК?
— Как определиться по срокам?
— Практические примеры по конкретным отраслям и организациям
Статья Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Для функционирования в штатном режиме, финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ). Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры. Они предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании.
Статья Моделирование угроз на предприятии

Моделирование угроз на предприятии

Особенности процессов моделирования угроз и расчета рисков, их взаимосвязи и рекомендации к их составлению для тех, на кого распространяются требования к моделированию угроз (операторы ПДн, субъекты КИИ и т.д.) и оценка рисков (кредитные и некредитные финансовые организации).
Статья Что такое SGRC (Security Governance, Risk Management, Compliance)?

Что такое SGRC (Security Governance, Risk Management, Compliance)?

SGRC-системы помогают автоматизировать информационную безопасность, управление рисками и выполнение законодательных требований, обеспечивая комплексный подход и оптимизацию процессов.

FAQ: Часто задаваемые вопросы

Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

Проверка по КИИ может различаться по наличию значимых объектов.

При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

«Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
2) Проверка выполнения требований по защите по пунктам:
— подтверждение актуальности МУ
— подтверждение выполнения технических требований
— подтверждение организационных требований (в том числе планов)
— проверка обучения
3) Контроль обработки инцидентов
4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иных сферах финансового рынка;
  • топливно-энергетический комплекс;
  • атомная сфера;
  • сфера обороны;
  • ракетно-космическая;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность.

Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.

Добрый день.
Случаями подачи информации во ФСТЭК являются:
— плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
— при изменениях состава объектов КИИ
— изменение показателей критериев значимости объектов КИИ или их значений.
В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к  сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.

Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

Добрый день.

Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

  1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
  2. Наличие компьютерного (сетевого) порта управления устройством;
  3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
  4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.