Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°)

  • Для кого?
    Для руководителей предприятий, относящихся к ЗОКИИ. Мы избавляем их от текущих и потенциальных проблем.
  • Цель проекта
    Радикальное снижение рисков для субъекта КИИ в целом и руководства субъекта в частности.

Условия продажи
Проведение работ требует высокого уровня принятия решений и оперирует критичными сведениями, вследствие чего взаимодействие с Заказчиком должно осуществляться на уровне руководителя субъекта КИИ, либо ответственного за защиту ЗОКИИ. Готовность к частичному аутсорсингу.

Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - услуги RTM Group
Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - от RTM Group
Узнать стоимость?

Эксперты по обеспечению комплексной безопасности ЗОКИИ

Эксперт по обеспечению комплексной безопасности ЗОКИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

При выполнении работ по комплексному обеспечению безопасности для субъекта КИИ эксперты проходят несколько ключевых этапов.

1. OSINT по предприятию в целом и руководству организации

Собирается расширенный набор сведений по работе предприятия и сотрудникам организации.

Целью данного этапа является выявление источников данных, которые потенциально доступны злоумышленникам в открытых источниках.

Особый интерес на данном этапе составляют сведения о высшем руководстве и ответственных лицах субъекта КИИ.

Зачастую такие сведения содержат следующую информацию:

  1. Контактные данные
  2. Сведения о частной жизни, компрометирующие сотрудника
  3. Парольная или иная информация, напрямую связанная с информационной безопасностью

В дальнейшем будут подготовлены рекомендации по блокировке или изменению этих сведений в разрезе разных объектов (организация, сотрудник, собственник).

Рекомендации могут включать в себя:

  • Заявки на удаление или корректировку данных с ресурсов
  • Отказ от использования тех или иных учетных данных
  • Смена аутентификационных сведений
  • Зашумление информационного поля
  • Другое

Собранные данные и результаты их анализа являются базой для старта второго этапа работ.

2. Расширенное тестирование на проникновение ЗОКИИ и сбор технических данных

Проводится технический аудит безопасности, целью которого является выявление критичных проблем с безопасностью, которыми могут воспользоваться злоумышленники в настоящий момент.

Параллельно работает две команды Исполнителя:

  1. Первая команда проводит тестирование на проникновение
  2. Вторая команда (независимо от первой) собирает данные по инфраструктуре и процессам Заказчика

Сбор данных осуществляется различными способами, в зависимости от организации IT в структуре Заказчика.

Возможны комбинации следующих подходов:

  1. Анализ данных в действующих у Заказчика системах мониторинга
  2. Автоматизированный сбор сведений техническими средствами Исполнителя
  3. Ручной сбор сведений
  4. Интервьюирование

Осуществляется сбор таких данных как:

  • Применяемые аппаратные и программные решения
  • Сетевые потоки данных и маршрутизация
  • Настройки средств защиты информации
  • Регламенты по работе с IT, АСУ ТП и т. д.

В ходе проведения работ широко применяется практика экспертной инициативы. Инициатива может быть направлена на корректировку области проведения работ, изменение глубины исследования в отдельных направлениях и даже корректировку целей самих работ.

Все изменения в рамках экспертной инициативы согласуются с Заказчиком.

Результатом этапа будет перечень недостатков информационной безопасности в направлениях:

  1. Уязвимости прикладного и системного ПО
  2. Недостатки в составе и настройках средств защиты
  3. Пробелы в организации системы ИБ
  4. Компоненты «человеческого фактора»
  5. Нарушения требований регуляторов

С учетом общего перечня рисков формируется план их обработки, включая:

  • Снижение рисков (модернизация системы информационной безопасности)
  • Перенос рисков (работа с аутсорсингом/страхование)
  • Принятие рисков (требует взаимодействия с высшим руководством субъекта КИИ)

3. Документарное обеспечение в тематике КИИ (от категорирования и назначения ответственных до выстраивания процессов)

На данном этапе обрабатываются выявленные риски нарушения законодательства.

После предыдущих этапов Исполнитель обладает значительным массивом данных по работе предприятия и имеющимся процессам.

Полученные данные соотнесены с требованиями по обеспечению безопасности КИИ и иных нормативов в направлении информационной безопасности. Исполнитель готовит документы, которые необходимы для снижения регуляторных рисков с учетом особенностей функционирования Заказчика.

Одновременно разрабатываются документы по таким направлениям как:

  • КИИ
  • ПДн
  • Коммерческая тайна
  • СКЗИ
  • Взаимодействие с контрагентами
  • Другое

При разработке документации учитываются не только непосредственные требования регуляторов (ФСТЭК, ФСБ, РКН), но и богатый опыт прохождения проверок данных регуляторов, а также лучшие практики. Обязательным критерием при разработке документации является ее непротиворечивость и направленность на объективную практическую результативную безопасность.

Сформированные документы должны быть не просто подписаны Заказчиком и сложены на полку, но и пройти все этапы применения от конечных пользователей до контролирующих подразделений и высшего руководства.

4. Обучение персонала ЗОКИИ

Для субъектов со значимыми объектами требуется квалифицированный персонал – как среди сотрудников службы информационной безопасности, так и среди обычных пользователей информационных систем.

  1. Для первых – эксперты RTM Group могут проводить стажировки и повышение квалификации, основываясь не на академических программах, которые устаревают к моменту своего появления, а на практике и актуальной нормативно-правовой базе.
  2. Для повышения осведомленности остальных сотрудников возможны как обучение с нашими экспертами, так и самостоятельное повышение при помощи модуля обучения в системе MEDOED.

Объем, периодичность, программы обучения и тестирования формируются на основе собранных на этапах 1-2 сведениях и учитывают организационно-распорядительную документацию, разработанную на этапе 3.

5. Проектирование защиты значимых объектов КИИ и планирование будущих работ/поставок

На данном этапе Исполнитель готовит обязательную проектную документацию, а также планы, которые необходимы по текущим требованиям.

Проектирование ведется с учетом требований приказов ФСТЭК и практики внедрения систем защиты ЗОКИИ.

Данный этап является одним из самых ответственных с точки зрения регуляторных рисков, а также рисков некорректного бюджетирования.

Проект учитывает весь комплекс требований, которые могут предъявляться к Заказчику, в том числе:

  1. Требования регуляторов
  2. Нормативы партнеров и контрагентов
  3. Внутренний риск-аппетит Заказчика

6. Поставка оборудования и лицензий, включая средства защиты информации

Осуществляется выбор технических решений, их пилотирование и поставка.

7. Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Осуществляется ряд следующий мероприятий:

  1. Разворачивается корпоративная версия Платформы MEDOED, которая является базой для обеспечения соответствия требованиям и организации системной работы по направлению информационно безопасности
  2. Проводится обучение заинтересованных лиц Заказчика
  3. По запросу добавляются материалы в модуль повышения осведомленности

Платформа включает в себя, как минимум, следующий функционал, способный сократить время реакции и трудозатраты сотрудников ИБ:

  • Категорирование КИИ
  • Обработка персональных данных
  • Учет СКЗИ
  • Обучение персонала
  • Планирование действий сотрудников информационной безопасности

8. Постановка на постоянный аутсорсинг или ежегодный аудит безопасности ЗОКИИ

После проведения всех работ RTM Group принимает на себя обязательства по постоянному обслуживанию организации ЗОКИИ по информационной безопасности.

Доступны два основных формата обслуживания: «Ежегодный» и «Постоянный».

Почему RTM Group?

  • Большой опыт в проектировании СБИ;
  • Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
  • Высокое качество услуг, консультационная поддержка по завершении проекта.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по обеспечению комплексной безопасности ЗОКИИ

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по обеспечению комплексной безопасности ЗОКИИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

OSINT организации или руководства

Разведка по открытым источникам с целью поиска требуемых данных или связей.
Срок проведения: 2 недели

от 250 000 руб.

Тестирование на проникновение ЗОКИИ

Тестирование системы защиты компании с целью определения наличия уязвимостей, доступных для эксплуатации злоумышленником.
Срок проведения: от 4 недель

от 500 000 руб.

Разработка ОРД по защите ЗОКИИ

Разработка комплекта документации, содержащего положения, регламенты и политики, необходимые для полного регламентирования процесса защиты ЗОКИИ.
Срок проведения: от 5 недель

от 500 000 руб.

Обучение персонала ЗОКИИ

Консультации в области защиты КИИ, обучение персонала основам безопасной работы, проведение контрольных мероприятий по итогу обучения.
Срок проведения: 4 недели

от 200 000 руб.

Проектирование и планирование защиты ЗОКИИ

Подготовка проектной документации на разрабатываемую систему безопасности ЗОКИИ.
Срок проведения: от 5 месяцев

от 1 500 000 руб.

Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Внедрение платформы MEDOED для управления процессами информационной безопасности.
Срок проведения: 4 недели

от 300 000 руб.

Аутсорсинг ИБ

Передача работ внешним исполнителям в разрезе информационной безопасности.

от 400 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Услуги для вас

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

Проверка по КИИ может различаться по наличию значимых объектов.

При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

«Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
2) Проверка выполнения требований по защите по пунктам:
— подтверждение актуальности МУ
— подтверждение выполнения технических требований
— подтверждение организационных требований (в том числе планов)
— проверка обучения
3) Контроль обработки инцидентов
4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иных сферах финансового рынка;
  • топливно-энергетический комплекс;
  • атомная сфера;
  • сфера обороны;
  • ракетно-космическая;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность.

Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.

Добрый день.
Случаями подачи информации во ФСТЭК являются:
— плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
— при изменениях состава объектов КИИ
— изменение показателей критериев значимости объектов КИИ или их значений.
В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к  сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.

Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

Добрый день.

Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

  1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
  2. Наличие компьютерного (сетевого) порта управления устройством;
  3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
  4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.