Защита критической информационной инфраструктуры (КИИ)

В современном мире объекты КИИ постоянно подвергаются кибератакам со стороны злоумышлеников. Наблюдается стабильный рост числа инцидентов информационной безопасности.

Для повышения устойчивости функционирования объектов КИИ предприятия, поддерживающих основные бизнес-процессы производства, целесообразно реализовать комплекс мероприятий по обеспечению информационной безопасности.

Описанные ниже особенности функционирования объектов КИИ способствуют возникновению большого количества уязвимостей и создают благоприятные возможности для успешной реализации атак:

  • длительный срок службы оборудования
  • разнородность применяемых решений автоматизации
  • слабость интегрированных функций безопасности оборудования, ПО, протоколов обмена информацией
  • использование устаревшего оборудования и ПО
  • длительное время устранения выявленных уязвимостей
  • отсутствие процесса обновления ПО
  • скрытые или явные каналы удаленного сопровождения
  • низкий уровень компетенции персонала и разработчиков систем автоматизации в области информационной безопасности
  • интеграция с корпоративными системами

Реализация угроз информационной безопасности для объектов КИИ может привести к самым разным негативным последствиям для организации и ее руководителей:

voskl znak new  Простои технологического оборудования, нарушение непрерывности основных бизнес-процессов, снижение качества выпускаемой продукции. Как итог - прямые финансовые убытки.

voskl znak new Аварии различной степени тяжести. Финансовые потери в случае аварийной остановки систем.

voskl znak new Штрафы из-за невыполнения контрактных обязательств перед третьими лицами. Потеря репутации.

voskl znak new Административная ответственность из-за невыполнения требований Федерального законодательства.

 

О решении

Компания «Газинформсервис» реализует полный комплекс работ, который соответствует требованиям законодательства, обеспечивает требуемый уровень безопасности и снижает риски нанесения ущерба в следствие реализации угроз ИБ.

znakПриказом ФСТЭК России от 14.03.2014 № 31 утверждены «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», обязательные к исполнению для предприятий, относимых к таким категориям объектов.

Три шага на пути к выполнению закона №187-ФЗ

 

1 kii new

Категорирование объектов КИИ

1 kii 3 new

Создание системы обеспечения безопасности объектов КИИ


1 kii new Категорирование объектов КИИ

Объект КИИ

Под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъектом КИИ являются:

  • государственные органы
  • государственные учреждения
  • российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления

Категорирование включает в себя:

  • Создание комиссии по категорированию
  • Сбор исходных данных для проведения категорирования
  • Определение перечня объектов, подлежащих категорированию
  • Проведение категорирования объектов КИИ
  • Составление Акта категорирования объекта КИИ
  • Направление сведений в ФСТЭК России

Необходимые исходные данные для категорирования:

  • сведения об объекте КИИ (назначение, архитектура объекта, применяемые ПО и ТС, взаимодействие с другими объектами КИИ, наличие и характеристики доступа к сетям связи)
  • сведения об основных бизнес-процессах
  • состав информации, обрабатываемой объектами КИИ
  • декларация промышленной безопасности ОПО, декларация безопасности гидротехнического сооружения и паспорт объекта ТЭК
  • сведения о взаимодействии объекта КИИ с другими объектами КИИ
  • угрозы безопасности информации в отношении объекта КИИ
  • данные о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа

Для того, чтобы произвести идентификацию объектов КИИ - необходимо:

icon check new  Определить виды деятельности общества

icon check new  Выделить основные виды деятельности общества

icon check new  Идентифицировать процессы общества для основного вида деятельности

icon check new  Определить объекты, на которых реализуются процессы

icon check new  Определить собственника объекта

icon check new  Сформировать перечень автоматизированных систем, которые управляют основными процессами на объекте

icon check new  Определить состав автоматизированных систем (провести инвентаризацию)

icon check new  Включить автоматизированные системы в реестр объектов КИИ общества


В течение 2018 года необходимо провести категорирование и передать информацию во ФСТЭК для включения объекта в реестр (крайний срок категорирования - 20 февраля 2019 года). Первые плановые проверки ФСТЭК начнет проводить через 3 года после внесения значимого объекта в реестр объектов КИИ.


Sheme KII6Структура ИБ объектов КИИ

Ответственность


Наиболее тяжкие преступления в отношении объекта КИИ наказываются лишением свободы сроком до 10 лет. Если субъект КИИ не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, и это повлекло причинение вреда объекту КИИ - виновным лицам субъекта КИИ может грозить лишение свободы сроком до 6 лет.


1 kii 2 new Интеграция с ГосСОПКА

Реализация требований ГосСОПКА приводит к необходимости создания Корпоративного Центра управления ИБ. «Газинформсервис» представляет подход к созданию корпоративного центра ГоСОПКА, на основе Security Operation Center (SOC) с учетом международного опыта и отечественной экспертизы.

1 kii 3 new Создание системы обеспечения безопасности объектов КИИ. Услуги компании по обеспечению безопасности критической информационной инфраструктуры:

  • Консалтинг по разработке плана мероприятий и рекомендаций по приведению объектов заказчика в соответствии с требованиями Федерального закона N 187-ФЗ от 26.07.2017.
  • Разаработка методических рекомендаций по формированию перечня и категорированию объектов критической информационной инфраструктуры во исполнение Постановления Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
  • Аудит на соответствие реализованных мер защиты на объектах заказчика требованиям приказа ФСТЭК России №239 от 21.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
  • Разработка организационно-распорядительных документов по безопасности значимых объектов, являющихся частью документов по вопросам обеспечения информационной безопасности субъекта критической информационной инфраструктуры.
  • Создание систем безопасности значимых объектов критической информационной инфраструктуры в соответствии с требованиям приказа ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и требованиями приказа ФСТЭК России №239 от 21.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».   
  • Техническое сопровождение систем безопасности значимых объектов критической информационной инфраструктуры.

Выгоды при внедрении системы защиты объектов КИИ:

icon check new  Выполнение требований законодательства. Вы получаете комплексную защиту от угроз, опасных для всех ваших систем с полным соответствием требованиям регуляторов в части обеспечения защиты информации объектов КИИ.

icon check new  Управление рисками. Появляется механизм управления рисками: предотвращение ситуаций, в которых требуется уплата договорных неустоек, тем самым сокращаются затраты на обеспечение безопасности производства.

icon check new  Контроль. Повышается уровень защищенности и устойчивости функционирования технологических процессов. Решение помогает оперативно реагировать на любые вызовы, что обеспечивает защиту на любом этапе жизненного цикла объекта КИИ, повышая эффективность использования оборудования.


Преимущества «Газинформервис»

znak KII1
Основательный опыт и компетенции.
Реализовано свыше 1000 проектов по разработке и внедрению систем защиты на технологических объектах как на территории РФ, так и за ее пределами.
 znak KII2
Наличие всех необходимых лицензий, глубокие знания специфики требований регулирующих органов РФ.
При реализации проектов учитывается специфика промышленных систем, международные стандарты, требования регулирующих органов РФ.
znak KII3
Специализация компании на обеспечении безопасности.
Компания имеет выделенный центр компетенций по защите технологических объектов и обширный опыт разработки систем безопасности предприятий.
 znak KII4
Собственные уникальные разработки и сотрудничество с ведущими вендорами.
«Газинформервис» является разработчиком собственного ПО и партнером крупнейших отечественных и международных производителей, благодаря этому есть возможность дорабатывать систему защиты АСУ ТП под любые нужды заказчика.
znak KII2
Экспертное направление защиты КИИ
Участие в роли эксперта при разработке подзаконных актов во исполнении требований Федерального закона N 187-ФЗ от 26.07.2017.

Есть вопросы? Обратитесь к нашим специалистам