Ваш браузер устарел и имеет проблемы с безопасностью. Он также может не поддерживать некоторые функции данного вебсайта или других вебсайтов. Пожалуйста, обновите ваш браузер, чтобы иметь доступ ко всем функциям этого вебсайта.

Соответствие 187-ФЗ

В условиях наблюдаемого беспрецедентного роста угроз безопасности необходимо своевременное обновление и внесение новых обязательных требований, которые будут направлены на снижение рисков кибербезопасности АСУ ТП и критической информационной инфраструктуры в целом.

Важным шагом на этом пути было принятие ФЗ-187 «О безопасности КИИ РФ» (принят 26.07.2017 г.), и ряда других подзаконных нормативных документов в области безопасности КИИ, среди которых необходимо выделить непосредственно ориентированные на реализацию системы защиты информации критической информационной инфраструктуры:

  • постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений»;
  • Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»;
  • Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

В общем случае для обеспечения безопасности своих объектов субъектам КИИ необходимо:

  • провести категорирование объектов КИИ:
    • выявление критических процессов,
    • определение объектов КИИ,
    • присвоение категории значимости объектам КИИ;
  • установить требования к обеспечению безопасности объектов КИИ:
    • подготовка ТЗ на создание подсистемы безопасности
  • разработать и внедрить организационные и технические меры:
    • разработка модели угроз безопасности информации
    • разработка проектной документации подсистемы безопасности
    • выбор СЗИ с учетом категории значимости, совместимости
    • тестирование обеспечения работоспособности и совместимости СЗИ с программными и аппаратными средствами
    • разработка эксплуатационной документации
    • установка и настройка СЗИ, настройка программных и программно-аппаратных средств
    • разработка организационно-распорядительной документации, регламентирующих правила и процедуры обеспечение безопасности
    • разработка программы и методики предварительных испытаний и их проведение
    • разработка программы и методики опытной эксплуатации и их проведение
    • анализ уязвимостей, включая тестирование на проникновение
    • разработка программы и методики приемочных испытаний и их проведение
  • контролировать состояния безопасности объектов КИИ в ходе эксплуатации:
    • разработка ежегодного плана мероприятий по обеспечению безопасности
    • анализ уязвимостей
    • анализ изменения угроз безопасности информации
    • контроль (анализ) защищенности
    • мониторинг и анализ событий безопасности

 Данные мероприятия субъекты КИИ могут выполнить самостоятельно либо привлечь в соответствии с законодательством РФ организацию, имеющую лицензию на деятельность по ТЗКИ.

Подробная информация

Преимущество выбора для построения подсистемы обеспечения информационной безопасности организации, имеющей большой опыт проектирования и работы именно с АСУ ТП.

Помимо наличия лицензии, при выборе такой организации следует учесть наличие высококвалифицированных специалистов с многолетним опытом работы в области защиты информации и особенно опыт работы в сфере обеспечения информационной безопасности в АСУ ТП.

Большинство  компаний, оказывающих услуги по информационной безопасности, специализируются на защите «традиционных» корпоративных сетей и мало знакомы со спецификой работы АСУ ТП, не имеют практики организации и внедрения мер информационной безопасности в АСУ ТП,  что повышает риски негативного влияния внедренной подсистемы безопасности на функционирование технологического процесса, нарушения его работы.

Наличие у организации богатого опыта проектирования, создания и модернизации АСУ ТП станет дополнительной гарантией правильности выбора мер по обеспечению ИБ и последующего надежного штатного функционирования технологических процессов в АСУ ТП.

Преимущество использования Киберполигона над традиционным подходом в предоставлении услуг большинства компаний, работающих в области ИБ и не имеющих таких испытательных площадок. Испытание совместимости СЗИ с промышленными системами на Киберполигоне

Правильность выбора мер по обеспечение ИБ АСУ ТП может подтверждаться тестированием подсистемы безопасности на этапе её проектирования.

Тестирование проводится в специально созданной тестовой среде – киберполигоне цифровой подстанции, на котором воссоздается среда функционирования: верхний, средний и нижний уровни, – реально действующей АСУ ТП. Такой подход позволяет проверить работоспособность и совместимость выбранных СЗИ с программными и аппаратными средствами АСУ ТП (промышленными системами), практически отработать выполнение средствами защиты информации функций безопасности и исключить влияние подсистемы безопасности на штатное функционирование АСУ ТП.

Наличие у организации такого киберполигона является важным конкурентным преимуществом, особенно при обеспечение безопасности информации в АСУ ТП.