Верхнее

Categories Archives: Частые вопросы

Частые вопросы по теме безопасности критической информационной инфраструктуры Российской Федерации.

[НАПОЛНЯЕТСЯ] Реализация мер из приказа ФСТЭК №239

Меры обеспечения безопасности значимого объекта

Раздел в стадии активного наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.

Загрузить больше

Continue Reading

Группы и сообщества по теме Безопасности КИИ

Безопасность КИИ

Обсуждение вопросов, связанных с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Полезные материалы, ссылки на публикации, обмен мнениями, свежие новости и обсуждение сложных вопросов.

Telegram Чат Telegram Facebook группа Facebook
ВКонтакте группа ВКонтакте

Кибербезопасность АСУ ТП

В данной группе обсуждаются вопросы кибербезопасности АСУ ТП / РЗА / ICS / SCADA / I&C; новости, инциденты, проблемы и угрозы безопасности АСУ ТП; технические и программные средства по обеспечению безопасности; мнения профессионалов ИБ-отрасли, инженеров, владельцев АСУ ТП.

Telegram Чат Telegram
Facebook Группа Facebook

Continue Reading

Частые вопросы про безопасность КИИ и 187-ФЗ

ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:
п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся: а) установление требований к обеспечению безопасности значимого объекта; б) разработка организационных и технических мер по обеспечению безопасности значимого объекта; в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …» п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов» пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».
Согласно Приказа ФСТЭК России №227 от 06.12.2017:
п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»
Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией. Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано. Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Реестр ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

СБ ЗО КИИ

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Загрузить больше

Continue Reading