Верхнее

Категории Archives: Нормативные документы о безопасности КИИ

Действующие нормативные документы о безопасности критической информационной инфраструктуры Российской Федерации.

Проект приказа ФСТЭК России «Об утверждении Порядка согласования ФСТЭК подключения ЗО КИИ РФ к сети связи общего пользования»

Наименование: Проект приказа ФСТЭК России «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования»

СсылкаПроект 01/02/04-20/00101634 ФСТЭК России 30.04.2020

Статус: проводятся общественные обсуждения в отношении текста проекта нормативного правового акта и независимая антикоррупционная экспертиза

Ключевые слова: критическая информационная инфраструктура; кии; 187-фз; безопасность критической информационной инфраструктуры российской федерации; сети связи общего пользования; согласование подключения; значимые объекты критической информационной инфраструктуры

Основание для разработки проекта акта: Пункт 3 Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры, утвержденных постановлением Правительства Российской Федерации от 8 июня 2019 г. № 743

ТекстыТекст проекта нормативного правового акта, Пояснительная записка, Текст проекта, направленный на независимую антикоррупционную экспертизу

Достаточным для обеспечения безопасности ЗО при его подключении к сети связи общего пользования является применение следующих СрЗИ, прошедших оценку на соответствие требованиям по безопасности в форме обязательной сертификации, испытаний или приемки:

  • а) программно-аппаратный межсетевой экран уровня сети, реализующий в том числе функции сокрытия архитектуры и конфигурации значимого объекта. Межсетевой экран размещается между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости межсетевой экран дополнительно должен обеспечивать исключение выхода (входа) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию, а также идентификацию сторон сетевого соединения (сеанса взаимодействия) по логическим именам (имя устройства и (или) его идентификатор), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства;
  • б) программно-аппаратный граничный маршрутизатор, обеспечивающий подключение значимого объекта к сети связи общего пользования и реализующий функцию управления сетевыми потоками. Маршрутизатор размещается между сетью связи общего пользования и компонентами значимого объекта. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости маршрутизатор дополнительно должен обладать отдельными физическими управляемыми (контролируемыми) сетевыми интерфейсами, предназначенными для обеспечения взаимодействия публичных общедоступных ресурсов со значимым объектом (для значимого объекта, для которого требуется взаимодействие с публичным общедоступным ресурсом например, с общедоступным веб-сервером), а также для каждого внешнего телекоммуникационного сервиса;
  • в) средства антивирусной защиты, реализующие сигнатурные и эвристические методы выявления вредоносных компьютерных программ. Средства применяются на функционирующих между сетями связи общего пользования и компонентами значимого объекта средствах защиты информации (межсетевых экранах, граничных маршрутизаторах и других средствах защиты информации), на которых возможна установка таких средств, и (или) серверах, обеспечивающих взаимодействие значимого объекта с сетью связи общего пользования, прокси-серверах и (или) почтовых шлюзах. Для обеспечения безопасности значимого объекта 1 или 2 категории значимости средства должны реализовывать фильтрацию по содержимому электронных сообщений с использованием критериев, позволяющих относить электронные сообщения к незапрашиваемым сигнатурным и (или) эвристическим методами, фильтрацию на основе информации об отправителе электронного сообщения (в том числе с использованием списков запрещенных и (или) разрешенных отправителей), а также дополнительно должно обеспечиваться централизованное управление  установленными на компонентах значимого объекта средствами антивирусной защиты (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты);
  • г) средство криптографической защиты информации (для значимого объекта, для которого в соответствии с законодательством Российской Федерации требуется защита криптографическими методами передаваемой информации), обеспечивающее защиту передаваемой и принимаемой по сети связи общего пользования, а также в иные информационные (автоматизированные) системы и информационно-телекоммуникационные сети информации от раскрытия, модификации и навязывания (ввода ложной информации);
  • д) средства обнаружения (предотвращения) вторжений (компьютерных атак) уровня сети (для значимого объекта 1 или 2 категории значимости). Компоненты регистрации событий (сенсоры или датчики) средства размещаются между сетью связи общего пользования и компонентами значимого объекта, а также между этими компонентами и иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями. Управление компонентами такой системы, установленными в разных сегментах значимого объекта, должно осуществляться централизованно;
  • е) межсетевой экран уровня веб-сервера (для значимого объекта 1 категории значимости, в составе которого функционирует сервер, обслуживающий сайты, веб-службы и (или) веб-приложения), обеспечивающий контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него. Межсетевой экран размещается между веб-сервером и сетью связи общего пользования, иными информационными (автоматизированными) системами, информационно-телекоммуникационными сетями, либо на этом веб-сервере.
  • Указанные средства защиты информации могут быть реализованы как отдельные изделия, либо входить в состав одного программно-аппаратного комплекса (нескольких программно-аппаратных комплексов).
Continue Reading

Информационное сообщение ФСТЭК России №240/84/611 от 17.04.2020 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»

Наименование: Информационное сообщение ФСТЭК России №240/84/611 от 17.04.2020 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо
об отсутствии необходимости присвоения ему одной из таких категорий»

Текст: PDFна сайте ФСТЭК

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

Для единообразного подхода к формированию перечней объектов критической информационной инфраструктуры, подлежащих категорированию, рекомендуется направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию, оформленный в соответствии с приложением 1.

В соответствии с пунктом 15 указанных Правил перечни объектов критической информационной инфраструктуры, подлежащих категорированию, направляются в ФСТЭК России в печатном и электронном виде (формат .ods и (или) .odt).

Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.

В соответствии с пунктом 18 указанных Правил, а также пунктом 2 приказа ФСТЭК России от 21 марта 2019 г. N 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. N 236» сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods).

Дополнительно обращаем внимание субъектов критической информационной инфраструктуры на то, что пунктами 2 и 3 постановления Правительства Российской Федерации от 13 апреля 2019 г. «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127» установлен срок утверждения перечня объектов критической информационной инфраструктуры, подлежащих категорированию, — 1 сентября 2019 г., а пунктом 15 указанных Правил – максимальный срок категорирования объектов критической информационной инфраструктуры, который не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию (внесения в него изменений).

Заместитель директора ФСТЭК России В.Лютиков

Приложение 1 к информационному сообщению ФСТЭК России от 17 апреля 2020 г. N 240/84/611

Рекомендуемая форма перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию

УТВЕРЖДАЮ
______________________
Должность руководителя субъекта критической информационной инфраструктуры Российской Федерации (далее – субъект) или уполномоченного им лица

______________________
Подпись руководителя субъекта или уполномоченного им лица

______________________
Фамилия, имя, отчество (при наличии) руководителя субъекта или уполномоченного им лица

» ___ » ______________________ 20___ г.
Дата утверждения перечня объектов критической информационной
инфраструктуры Российской Федерации, подлежащих категорированию

Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию

N п/пНаименование объектаТип объекта1Сфера (область) деятельности, 
в которой функционирует объект2
Планируемый срок категорирования объекта Должность, фамилия, имя, отчество (при наличии) представителя,
его телефон, адрес электронной почты (при наличии)3
1.     
2.     
n.     

1 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.

2 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации».

3 Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.

Continue Reading

Методические рекомендации по КИИ

АРСИБ

Авторы: Межрегиональная общественная организация Ассоциация руководителей служб информационной безопасности
Дата: 29.11.2019
Ссылка: http://aciso.ru/files/docs/metodichka_2.0.pdf

АДЭ

  • Авторы: Общественно-государственное объединение «Ассоциация документальной электросвязи»
  • Дата: 26.06.2019
  • Согласования: 8 Центр ФСБ России, ФСТЭК России
  • Ссылка: http://www.rans.ru/images/metrecKII.pdf

Минэнерго

  • Авторы: Министерство энергетики Российской Федерации
  • Дата: 09.2019
  • Согласования: Минэнерго России, ФСТЭК России
  • Ссылка: https://minenergo.gov.ru/view-pdf/11357/102517

ДИТ Москвы

Авторы: Департамент информационных технологий города Москвы
Дата: 23.05.2019
Ссылка: https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost

Дополнительно:

Continue Reading

Постановление Правительства РФ №1285 от 07.10.2019 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра ГосСОПКА и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах»

Наименование: Постановление Правительства РФ №1285 от 07.10.2019 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах»

Текстpravo.gov.ru, сайт ФСТЭК России, Гарант, Консультант+

Continue Reading

Приказ ФСБ России №282 от 19.06.2019 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ»

Наименование: Приказ Федеральной службы безопасности Российской Федерации от 19.06.2019 № 281 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

Статус: Зарегистрировано в Минюсте РФ 16.07.2019 № 55284.

Ссылки: Российская Газета, pravo.gov.ru, Консультант+, сайт ФСТЭК

Continue Reading