Виды защищаемых объектов

St.Bez_logotype.png


Объекты критической информационной инфраструктуры (Объекты КИИ)

Что такое «критическая информационная инфраструктура»?

  • Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
Что такое объекты и субъекты КИИ?

  • Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры
  • Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей

На кого возложены обязанности ГосСОПКА?
  • подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее — национальный координационный центр по компьютерным инцидентам);
  • подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
Какие действия должны предпринять субъекты КИИ для выполнения ФЗ-187?
  • провести категорирование объектов КИИ
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ
Что такое категорирование объектов КИИ?
  • Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Что такое значимый объект КИИ?
  • значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Какие существуют категории значимости?
  • социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
  • политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
  • экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
  • значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Сколько категорий значимости установлено?
  • Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
  • Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Ответственность за невыполнение требований ФЗ-187
  • В УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. На сегодняшний день с высокой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.
Специалисты Компании "Стандарт безопасности" в рамках оказания услуги по категорированию объектов критической информационной инфраструктуры проводят:
  • контроль защищённости инфраструктуры компании/государственной организации
  • взаимодействие с главным центром ГосСОПКА
  • мониторинг и реагирование на компьютерные атаки
Также мы поможем:
  • привести компанию в соответствие с требованиями Федерального закона "о критической информационной инфраструктуре и методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА"
  • качественно повысить уровень реальной защищённости и обеспечить непрерывный мониторинг и реагирование на возникающие компьютерные атаки

Выделенные помещения (ВП)

 6.jpg

Под выделенным помещением (ВП) понимается служебное помещение, в котором ведутся разговоры (переговоры) конфиденциального или секретного характера. Здесь речь идет о служебных помещениях, в которых отсутствуют какие-либо технические средства обработки (передачи) конфиденциальной информации. К таким помещениям относятся, прежде всего, комнаты для переговоров на фирмах, где ведутся деловые переговоры, содержащие конфиденциальную информацию.

Основная цель обеспечения безопасности конфиденциальной информации в переговорных комнатах - исключить доступ к ее содержанию при проведении переговоров (разговоров).Выделенное помещение выбирается так, чтобы оно, по возможности, не примыкало к границам контролируемой зоны, не находилось на первом и последнем этажах здания, учитывается его звукоизоляция, изолированность и возможности дистанционного перехвата информации по акустическим каналам (лазерные и направленные микрофоны и т.п.) – т.е. окон может не быть вообще или лучше, если они выходят во двор. Во время проведения переговоров форточки должны быть закрыты, желательно также закрыть шторы или жалюзи. Дверь в выделенное помещение должна быть оборудована звукоизоляционным тамбуром, следует также принять меры по защите вентиляционных отверстий – как по прямому, так и по виброакустическому каналу. В отдельных случаях на время проведения конфиденциального мероприятия контролируемая зона организационными и техническими мероприятиями временно может устанавливаться большей, чем обычно. При организации выделенного помещения все ВТСС, от которых можно отказаться (системы телевидения, часофикации, телефонная связь, бытовая техника и т.д.), должны демонтироваться, а несертифицированные технические средства  должны отключаться от соединительных линий и источников электропитания при проведении конфиденциальных переговоров. Если требуется наличие телефонной линии, а также в сеть электропитания устанавливаются сертифицированные защитные устройства. Кроме того, обязательно проводится оценка защищенности речевой информации в выделенном помещении от утечки по акустическим каналам. Должно быть организовано управление и контроль доступа в выделенные помещения как сотрудников, так и вспомогательного персонала организации. В нерабочее время выделенные помещения опечатываются и ставятся на сигнализацию.


Защищаемые помещения

Руководителей компаний разных уровней постоянно беспокоят вопросы защиты конфиденциальной информации. Одним из вопросов является обеспечение конфиденциальности переговоров, о содержании которых посторонним лицам знать не обязательно. Перед тем как приступить ко всевозможным мерам защиты, было бы неплохо для себя обрисовать, как выглядит ваш злоумышленник. Потенциально это должен быть человек, который хорошо подготовлен. Он должен знать все пути, с помощью которых может произойти утечка информации во время переговоров. Злоумышленник при этом должен на профессиональном уровне уметь добывать сведения, обладая необходимыми знаниями и оборудованием. Исходя из всего вышесказанного, важно правильно разработать целый комплекс мероприятий, который позволит вам защитить свои переговоры. Самое главное:

  • Переговорная комната должна быть подобрана очень тщательно. Наиболее рациональным решением будет, если вы разместите ее на верхних этажах. Конечно, идеальный вариант — если в такой комнате окна будут выходить во двор или вообще отсутствовать.
  • В данной комнате ни в коем случае не должны находиться часы, телефоны, телевизоры и т.д.
  • Также позаботьтесь о том, чтобы вход был оборудован тамбуром, который предварительно нужно хорошо звукоизолировать.
  • Вентиляционные каналы обязательно должны иметь специальные решетки. Таким образом отверстие можно будет прикрывать во время переговоров и открывать, когда помещение не используется.
  • Все окна и форточки должны быть закрыты. Позаботьтесь о наличии штор или жалюзи, а также оборудуйте окна вибродатчиками.
  • Если в комнате для переговоров будут все-таки находиться телефоны, необходимо приобрести специальные приспособления — глушилки, которые способны подавлять сигнал на различных расстояниях, в зависимости от собственной мощности. Подобного же рода приспособления существуют и для подавления сигнала проводных микрофонов.

Режимные помещения

При работе с документами ограниченного доступа очень важно организовать соответствующий режим хранения этих документов, доступа к ним и их использования. Помещения, в которых ведутся работы с такими документами и где они хранятся в нерабочее время (в том числе и помещения архива), являются режимными. Наиболее целесообразно эти помещения располагать компактно в основном административном здании организации в зоне размещения кабинетов аппарата руководства. Архивохранилища, если таковые имеются, с учетом перспективы их возрастающей загрузки целесообразно располагать на первых этажах административных зданий. Они в обязательном порядке должны быть обеспечены вентиляцией (принудительной или, по крайней мере, естественной). Режимные помещения должны оборудоваться замками повышенной надежности (с секретом). Для контроля за входом, могут устанавливаться шифрованные и электронные замки, автоматические турникеты, камеры видеонаблюдения. Доступ в помещения, где хранятся документы ограниченного доступа, должен быть строго ограничен.

В них допускаются:

- руководитель организации, его заместитель (помощник) по режиму;

- начальник режимного отдела (службы безопасности) и его заместитель;

- работники, которые имеют прямое отношение к ведущимся в этих помещениях работам.

Доступ других сотрудников в эти помещения может быть разрешен в случае служебной необходимости одним из перечисленных руководителей. С целью ограничения доступа посторонних лиц режимные помещения оборудуются окном для выдачи и приема документов, выходящим в отдельный тамбур, либо часть помещения оборудуется барьером. Документы ограниченного доступа требуют к себе несколько иного подхода на стадии делопроизводства в отличие от документов несекретного характера, не носящих в себе какую-либо тайну. Работник организации должен работать только с теми сведениями и документами, содержащими какую-либо тайну, к которым он получил доступ в силу трудовых обязанностей, знать, какие конкретно сведения подлежат защите, а также строго соблюдать правила пользования ими. Работник также должен знать, кому из сотрудников организации разрешено работать со сведениями, составляющими тайну, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников.

Автоматизированное рабочее место (АРМ)

Автоматизированное рабочее место (АРМ) - это рабочее место специалиста в предметной области, оборудованное компьютером и специальным программным обеспечением, помогающее решать задачи в рамках деятельности этого специалиста или другими словами это программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида (например АРМ бухгалтера, АРМ конструктора, АРМ технолога и т.п.). В первую очередь должно быть оснащено средством защиты от несанкционированного доступа (реализация может быть как программная, так и аппаратная). Рабочее место должно иметь антивирусное программное обеспечение, с актуальными базами данных угроз. Так же должны быть закрыты все уязвимости в операционной системе. Если с АРМ-специалиста передаются сведения на сервер базы данных, в информационную систему уровня муниципалитета, департамента или иного госоргана по открытым каналам связи, применяются технологии шифрующие трафик, и соответственное программное обеспечение (защищённые сети передачи данных)