Категорирование информационных систем и объектов информатизации как объектов критической информационной инфраструктуры
Максимально эффективная защищенность информационной системы достигается за счет правильного выбора организационных и технических мер защиты. Первым логичным шагом при выборе мер защиты является определение минимальных, необходимых и достаточных требований безопасности, которые должны быть реализованы в рассматриваемой информационной системе.
Ошибочны попытки реализации как слишком широкого спектра мер защиты информации (установки избыточного количества средств защиты), так и стремление неоправданно минимизировать их количество. Недостаточность мер защиты приводит к повышению рисков нарушения информационной безопасности, реализация которых, по статистике, лишь вопрос времени, избыток – к существенной нагрузке на информационную инфраструктуру, снижению целевых характеристик защищаемой системы и неоправданным финансовым расходам, что в совокупности негативно отражается на уровне защищенности информационной системы.
Для определения достаточного объема необходимых мер защиты конкретной системы производится классификация информационной системы, по ее результатам выбирается оптимальный контур комплексных мер защиты информации, необходимых именно вашей системе. Процесс классификации информационной системы с точки зрения определения необходимых и достаточных мер защиты информации называется категорированием.
Существенное количество информационных систем (от информационных систем персональных данных до автоматизированных систем управления технологическими процессами) относятся к системам, нарушение функционирования которых может привести к возникновению ущерба жизни и здоровью людей, нарушениям функционирования объектов жизнеобеспечения, компонентов транспортной инфраструктуры, репутации компаний, экономическим потерям. Такие информационные системы или объекты информатизации называются объектами критической информационной инфраструктуры (ОКИИ).
Меры защиты подобных информационных систем (объектов информатизации) регламентируются федеральным законом от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и связанными с ним нормативными документами (включая Приказы ФСТЭК России). В качестве ОКИИ должны рассматриваться уже существующие или планирующиеся к созданию информационные системы и объекты информатизации в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Для каких систем может быть актуально категорирование их как ОКИИ:
Ошибочны попытки реализации как слишком широкого спектра мер защиты информации (установки избыточного количества средств защиты), так и стремление неоправданно минимизировать их количество. Недостаточность мер защиты приводит к повышению рисков нарушения информационной безопасности, реализация которых, по статистике, лишь вопрос времени, избыток – к существенной нагрузке на информационную инфраструктуру, снижению целевых характеристик защищаемой системы и неоправданным финансовым расходам, что в совокупности негативно отражается на уровне защищенности информационной системы.
Для определения достаточного объема необходимых мер защиты конкретной системы производится классификация информационной системы, по ее результатам выбирается оптимальный контур комплексных мер защиты информации, необходимых именно вашей системе. Процесс классификации информационной системы с точки зрения определения необходимых и достаточных мер защиты информации называется категорированием.
Существенное количество информационных систем (от информационных систем персональных данных до автоматизированных систем управления технологическими процессами) относятся к системам, нарушение функционирования которых может привести к возникновению ущерба жизни и здоровью людей, нарушениям функционирования объектов жизнеобеспечения, компонентов транспортной инфраструктуры, репутации компаний, экономическим потерям. Такие информационные системы или объекты информатизации называются объектами критической информационной инфраструктуры (ОКИИ).
Меры защиты подобных информационных систем (объектов информатизации) регламентируются федеральным законом от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и связанными с ним нормативными документами (включая Приказы ФСТЭК России). В качестве ОКИИ должны рассматриваться уже существующие или планирующиеся к созданию информационные системы и объекты информатизации в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Для каких систем может быть актуально категорирование их как ОКИИ:
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- системы управления производственными процессами (MES);
- информационные системы персональных данных (ИСПДн);
- государственные информационные системы (ГИС);
- иные автоматизированных системы (АС);
- информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
- численное определение возможного ущерба и рисков людям, инфраструктуре, экономике и политике, вызванное потенциальным нарушением нормального функционирования информационной системы;
- определение применимости требований по информационной безопасности для ОКИИ к рассматриваемой информационной системе;
- определение требований по защите информации, необходимых к внедрению в категорированной информационной системе, являющейся ОКИИ;
- определение контура организационных и технических компонентов будущей системы защиты информации ОКИИ.
- анализ процессов в информационных системах (объектах информатизации, информационной инфраструктуре);
- определение критических процессов в информационных системах (объектах информатизации, информационной инфраструктуре);
- определение объектов инфраструктуры, участвующих в обеспечении критических процессов рассматриваемой информационной системы;
- уточнение перечня объектов (информационных систем, объектов информатизации), подлежащих категорированию как ОКИИ;
- оценка возможных негативных последствий от нарушения функционирования рассматриваемых ОКИИ по специальным численным критериям;
- присвоение категорий ОКИИ.
- определение категорий значимости ОКИИ для выбранных информационных систем;
- определение необходимого объема требований по защите информации ОКИИ (облика и контура будущей системы защиты информации в ОКИИ) с учетом категории, к которой отнесена система в процессе категорирования.
- «Сумма технологий» имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации.
- «Сумма технологий» обладает ресурсами для выполнения работ по информационной безопасности:
- создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
- имеются необходимые технические условия для проведения работ – САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
- налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.
- Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
- Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
- Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
- Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
- Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Будьте в курсе новостей!