Верхнее

Категории Archives: Документы и материалы по темам

[->] Приказ Минкомсвязи России №114 от 17.03.2020 «Об утверждении Порядка и ТУ установки и эксплуатации средств, предназначенных для поиска признаков КА в сетях электросвязи, используемых для организации взаимодействия оКИИ РФ»

Наименование: Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации №114 от 17.03.2020 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»

Статус: Зарегистрирован 25.06.2020 № 58753

Текстpravo.gov.ru, Гарант, Консультант+

Содержание:

Приказ утверждает:

  • Порядок установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ;
  • Технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ.

См.также: Проект приказа Минкомсвязи России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ»

Continue Reading

[->] Информационное сообщение ФСТЭК России №240/84/611 от 17.04.2020 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»

Наименование: Информационное сообщение ФСТЭК России №240/84/611 от 17.04.2020 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо
об отсутствии необходимости присвоения ему одной из таких категорий»

Текст: PDFна сайте ФСТЭК

В соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, субъекты критической информационной инфраструктуры осуществляют категорирование объектов критической информационной инфраструктуры Российской Федерации, в ходе которого формируют и направляют в ФСТЭК России перечни объектов критической информационной инфраструктуры, подлежащих категорированию.

Для единообразного подхода к формированию перечней объектов критической информационной инфраструктуры, подлежащих категорированию, рекомендуется направлять в ФСТЭК России утвержденный руководителем субъекта критической информационной инфраструктуры (или уполномоченным лицом) перечень объектов критической информационной инфраструктуры, подлежащих категорированию, оформленный в соответствии с приложением 1.

В соответствии с пунктом 15 указанных Правил перечни объектов критической информационной инфраструктуры, подлежащих категорированию, направляются в ФСТЭК России в печатном и электронном виде (формат .ods и (или) .odt).

Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.

В соответствии с пунктом 18 указанных Правил, а также пунктом 2 приказа ФСТЭК России от 21 марта 2019 г. N 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. N 236» сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods).

Дополнительно обращаем внимание субъектов критической информационной инфраструктуры на то, что пунктами 2 и 3 постановления Правительства Российской Федерации от 13 апреля 2019 г. «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127» установлен срок утверждения перечня объектов критической информационной инфраструктуры, подлежащих категорированию, — 1 сентября 2019 г., а пунктом 15 указанных Правил – максимальный срок категорирования объектов критической информационной инфраструктуры, который не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию (внесения в него изменений).

Заместитель директора ФСТЭК России В.Лютиков

Приложение 1 к информационному сообщению ФСТЭК России от 17 апреля 2020 г. N 240/84/611

Рекомендуемая форма перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию

УТВЕРЖДАЮ
______________________
Должность руководителя субъекта критической информационной инфраструктуры Российской Федерации (далее – субъект) или уполномоченного им лица

______________________
Подпись руководителя субъекта или уполномоченного им лица

______________________
Фамилия, имя, отчество (при наличии) руководителя субъекта или уполномоченного им лица

» ___ » ______________________ 20___ г.
Дата утверждения перечня объектов критической информационной
инфраструктуры Российской Федерации, подлежащих категорированию

Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию

N п/пНаименование объектаТип объекта1Сфера (область) деятельности, 
в которой функционирует объект2
Планируемый срок категорирования объекта Должность, фамилия, имя, отчество (при наличии) представителя,
его телефон, адрес электронной почты (при наличии)3
1.     
2.     
n.     

1 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.

2 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации».

3 Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.

Continue Reading

[->] Постановление Правительства РФ №1285 от 07.10.2019 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра ГосСОПКА и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах»

Наименование: Постановление Правительства РФ №1285 от 07.10.2019 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах»

Текстpravo.gov.ru, сайт ФСТЭК России, Гарант, Консультант+

Continue Reading

[НАПОЛНЯЕТСЯ] Реализация мер из приказа ФСТЭК №239

Меры обеспечения безопасности значимого объекта

Раздел в стадии активного наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.

I. Идентификация и аутентификация (ИАФ)

Для каких категорий значимости установлено: 3, 2, 1

Тип требования: Процедурное

Способ реализации: Организационные мероприятия

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0 Разработка политики идентификации и аутентификации

Для каких категорий значимости установлено: 3, 2, 1

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга

Возможности некоторых продуктов:

  • DATAPK — В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования
  • Secret Net Studio 8.2 — Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • АПКШ Континент 3.7 — Аутентификация пользователей через «клиента аутентификации пользователя». 
  • Континент-АП + Сервер доступа 3.7 — Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 — Идентификация/аутентификация пользователей, поддержка электронных идентификаторов. 
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security — Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor — Контроль инициируемых пользователями процессов

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
  • Приказ 21 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
  • Приказ 31 — ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • DATAPK — в DATAPK реализована идентификация устройств (функция инвентаризации), подключенных к сети и подключенных к рабочим местам, серверам и другим узлам сети
  • Secret Net Studio 8.2 — Идентификация компьютеров, съемных машинных носителей информации
  • АПКШ Континент 3.7 — Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 — Континент-АП аутентифицируется на конкретном устройстве — сервере доступа (использование сертификата СД)
  • vGate 4.0 — Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
  • InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
  • InfoWatch ARMA Industrial Firewall — Использование портала авторизации, идентификации устройств по IP- и MAC-адресам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
  • Приказ 21 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
  • Приказ 31 — ИАФ.2 Идентификация и аутентификация устройств

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств)
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • DATAPK — DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации
  • Secret Net Studio 8.2 — Управление учетными записями, присвоение аппаратных средств аутентификации
  • АПКШ Континент 3.7 — ЦУС — управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 — Управление учетными записями на СД. Идентификатор-имя учетной записи.
  • vGate 4.0 — Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta)
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
  • InfoWatch ARMA Industrial Firewall — В случае использования портала авторизации для внешних по отношению к АСУ пользователей возможно управление идентификаторами

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  • Приказ 21 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  • Приказ 31 — ИАФ.3 Управление идентификаторами

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • DATAPK — реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System
  • АПКШ Континент 3.7 — АРМ ГК-работа с носителями и ключами
    ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 — Работа с ключами, сертификат и закрытый ключ отзыв сертификата
  • vGate 4.0 — В рамках поддержки электронных идентификаторов
  • Соболь 3.0 — Продукт выполняет требование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  • Приказ 21 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  • Приказ 31 — ИАФ.4 Управление средствами аутентификации

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • InfoWatch Traffic Monitor — Поддержка протоколов LDAP/OpenLDAP

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
  • Приказ 21 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
  • Приказ 31 — ИАФ.5 Идентификация и аутентификация внешних пользователей

Для каких категорий значимости установлено: —

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Межсетевой экран, авторизация соединений
  • АПКШ Континент 3.7 — Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 — Межсетевой экран, авторизация соединений
  • vGate 4.0 — Двусторонняя аутентификация клиентов и СА

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6 Двусторонняя аутентификация

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. 
    Защита от перехвата пароля при сетевых обращениях
  • АПКШ Континент 3.7 — Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 — Шифрованный канал
    Сокрытие вводимой парольной информации. 
  • vGate 4.0 — Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security — Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7 Защита аутентификационной информации при передаче

II. Управление доступом (УПД)

Для каких категорий значимости установлено321

Тип требования: Процедурное

Способ реализации: Организационные мероприятия

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УПД.0 Разработка политики управления доступом

Загрузить больше

Continue Reading

[->] Приказ ФСБ России №282 от 19.06.2019 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ»

Наименование: Приказ Федеральной службы безопасности Российской Федерации от 19.06.2019 № 281 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

Статус: Зарегистрировано в Минюсте РФ 16.07.2019 № 55284.

Ссылки: Российская Газета, pravo.gov.ru, Консультант+, сайт ФСТЭК

Continue Reading