Опубликовано Автор: Аксенов Кирилл

Дорожная карта по обеспечению безопасности критических объектов

На основании имеющегося у автора опыта и знаний привожу перечень действий и документов для объектов критических информационных инфраструктур (КИИ):

  1. Принятие решения о наличии объекта (объектов) КИИ.
  2. Создание постоянно действующей комиссии по категорированию.

  1. Инвентаризация бизнес-процессов.
  2. Формирование перечная объектов КИИ.
  3. Отправка сведений о наличии объектов КИИ во ФСТЭК.
  4. Определение актуальных угроз безопасности. Подготовка модели угроз.
  5. Присвоение категорий значимости (проводится периодически, не реже 1 раза в 5 лет).
  6. Отправка сведений о присвоенной категории во ФСТЭК (в срок 10 дней).
  7. Назначение (создание подразделения) работников, ответственных за обеспечение безопасности объектов КИИ.
  8. Обучение специалистов (в случае необходимости).

 

  1. Формирование требований к системе безопасности. Подготовка ТЗ.
  2. Проектирование системы безопасности. Подготовка ТП или ЭП.
  3. Внедрение организационных мер.
  4. Поставка технических средств защиты.
  5. Макетирование, тестовая и опытная эксплуатация.
  6. Анализ уязвимостей и тестирование на проникновение (возможно проведение на тестовой среде).
  7. Проведение оценки соответствия.
  8. Ввод в промышленную эксплуатацию.
  9. Принятие решения об установке средств ГосСОПКА.
  10. Подготовка и отправка пакета документов в ФСБ на согласование установки средств ГосСОПКА.

 

  1. Постоянный мониторинг и отправка сведений об инцидентах в НКЦКИ.
  2. Анализ угроз безопасности и пересмотр МУиН. Анализ уязвимостей.
  3. Планирование мероприятий по обеспечению безопасности.
  4. Реализация необходимых изменений.
  5. Контроль состояния объекта КИИ во время его эксплуатации.
  6. Проведение оценки соответствия.
  7. Отработка мероприятий плана реагирования на инциденты (1 раз в год).
  8. Информирование и обучение персонала.

 

  1. Приказ о выводе объекта КИИ из эксплуатации.
  2. Вывод из эксплуатации, уничтожение носителей информации.
  3. Вывод их эксплуатации, акты вывода из эксплуатации.
  4. Архивное хранение всей документации.

 

  1. Приказ о создании постоянно действующей комиссии по категорированию.
  2. Приказ об утверждении перечня объектов КИИ.
  3. Форма уведомления ФСТЭК.
  4. Модель угроз и нарушителя безопасности объекта КИИ.
  5. Акт категорирования.
  6. Форма уведомления ФСТЭК.
  7. Журнал регистрации проведения проверок регуляторами.
  8. План реагирования на инциденты (согласовывается с ФСБ).
  9. Техническое задание на систему безопасности.
  10. Технический (эскизный) проект на систему безопасности.
  11. Подготовка ОРД и эксплуатационной документации в составе (возможно):
  • Порядок обеспечения безопасности объекта КИИ (либо Политика обеспечения безопасности). Описание архитектуры обеспечения безопасности.
  • Порядок проведения испытаний или приемки средств защиты.
  • Порядок обучения работников.
  • Порядок взаимодействия подразделений при эксплуатации объекта КИИ и действий в случае нештатных ситуаций.
  • Порядок взаимодействия с НКЦКИ и порядок отправки сведений в ГосСОПКА.
  • Инструкция пользователя объекта КИИ.
  • Инструкция администратора объекта КИИ.
  • Инструкция администратора безопасности объекта КИИ.
  • Порядок допуска на территорию (к компонентам КИИ), или инструкция по пропускному режиму.
  • Порядок предоставления и управления доступом.
  • Порядок обеспечения антивирусной защиты.
  • Порядок проведения контрольных и проверочных мероприятий функционирования объекта КИИ.
  • Порядок оценки соответствия.
  • Порядок внесения изменений и управления конфигурацией. Заявки (акты) на внесение изменений.
  • Порядки (инструкции) по настройке средств защиты (на каждое отдельно взятое средство).
  1. Акты об успешном прохождении опытной эксплуатации.
  2. Протоколы (акты) проведения анализа уязвимостей (включая тестирование на проникновение).
  3. Акты об успешном прохождении приемочных испытаний.
  4. План проведения мероприятий по обеспечению безопасности объекта КИИ.
  5. Порядок пересмотра МУиН.
  6. Форма уведомления ФСБ (в случае, если планируется применение автоматизированных средств взаимодействия с ГосСОПКА).
  7. Формы регистрации сведений об инцидентах (отправляются в НКЦКИ и хранятся).
  8. Планы проведения мероприятий по обеспечению безопасности объекта КИИ.
  9. Акты проведения проверок эксплуатации объекта КИИ.
  10. Отчет (акт) о прохождении оценки соответствия.
  11. Отчетные документы об отработке мероприятий по реагированию на инциденты.
  12. Отчетные документы по информированию и обучению персонала.
  13. Приказ о выводе объекта КИИ из эксплуатации.
  14. Акты уничтожения носителей информации.
  15. Акты вывода из эксплуатации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *