Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры

Методические документы ФСТЭК России по обеспечению безопасности информации в ключевых системах информационной инфраструктуры

• Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры;
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;
• Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
• Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
• Положение о реестре ключевых систем информационной инфраструктуры.

Указанные документы имеют гриф «Для служебного пользования» и распространяются, в основном, среди лицензиатов.

В соответствии с указанными методическими документам к ключевым системам информационной инфраструктуры относятся системы, обеспечивающие управление потенциально опасными производствами или технологическими процессами на объектах, а также обеспечивающие функционирование информационно-опасных объектов, осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами (за исключением процессов на потенциально опасных объектах).

Автоматизированные системы управления производственными и технологическими процессами подлежат отнесению к соответствующему уровню важности в соответствии с утвержденной системой признаков и включаются в реестр ключевых систем информационной инфраструктуры в порядке, установленном Положением о реестре ключевых систем 3 информационной инфраструктуры (приказ ФСТЭК России от 4 марта 2009 г. № 74).

Для определения угроз безопасности информации в автоматизированных системах управления производственными и технологическими процессами применяются методические документы ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»

Методические документы ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» и «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» могут применяться при защите автоматизированных систем управления производственными и технологическими процессами в качестве дополнительного методического материала, в части не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 14 марта 2014 г. № 31.

Защита КСИИ – ключевых систем информационной инфраструктуры

Другими словами, КСИИ – это информационная система, расположенная на критически важных объектах, и работа которой может повлиять на их функционирование и вызвать техногенную, экологическую или финансовую катастрофу. Перечень таких объектов был утвержден постановлением Правительства РФ от 23.03.2006 №411-рс (Гриф секретно) и включает в себя более 2000 объектов следующих категорий:

• Ядерно- и/или радиационно-опасные
• Химически-опасные
• Взрыво- и пожароопасные объекты

• Биологически опасные
• Опасные технические сооружения
• Объекты государственного управления, финансово-кредитной, информационной и телекоммуникационной инфраструктуры

Несмотря на то, что в 2016 году было уделено особое внимание вопросам информационной безопасности и были приняты новые федеральные законы, регламентирующие защиту КИИ, с точки зрения реализации средств защиты основополагающими являются следующие документы (ДСП):

• «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
• «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)

• «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
• «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007)

Дать определение ключевой системе информационной инфраструктуры (КСИИ). Какие существуют уровни важности КСИИ.

Ключевая система информационной инфраструктуры – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

Таким образом, понятие ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей. Например:

 транспортная инфраструктура  инфраструктура газонефтяного комплекса  инфраструктура водоснабжения  инфраструктура служб экстренной помощи  инфраструктура органов власти банковская и финансовая инфраструктура  инфраструктура электроэнергетики  географические и навигационные системы

В настоящее время в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры разработана и утверждена система методических документов, основными из которых являются:

а) Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий

б) Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры

в) Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры

г) Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры

д) Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры

е) Положение о реестре ключевых систем информационной инфраструктуры

Существуют 3 уровня важности (1 – самый высший; 3 – самый низший) КСИИ, каждый из которых рассчитывается по системе 4-х показателей, оцениваемых по 10-ти бальной системе:

 К1 – показатель влияния функционирования системы на информатизируемый процесс;

 К2 – показатель величины возможного ущерба, вызванного нарушением функционирования системы;

 К3 – показатель влияния открытости доступа к сетевым ресурсам на возможность нанесения ущерба;

 К4 – показатель влияния топологии системы на возможность нанесения ущерба.

1 показатель

 Если информатизируемый процесс полностью зависит от функционирования системы, то К1=10.

 Если информатизируемый процесс лишь частично зависит от функционирования системы, то значения показателя К1 устанавливаются в зависимости от наличия следующих условий:

имеется альтернативная система, позволяющая осуществлять управление процессом или верификацию данных и снизить риск его прерывания или неконтролируемого развития – К1=2;

отсутствует альтернативная система, но имеется возможность управления процессом без средств автоматизации с риском его прерывания или неконтролируемого развития – К1=5;

отсутствует возможность управления процессом без средств автоматизации, имеется риск подмены данных и возможность блокирования неконтролируемого развития процесса – К1=8.

2 показатель

10 балл. – Федеральный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности более 1000 чел., материальный ущерб составил более 5 млн. МРОТ, зона ЧС вышла за пределы 2-х субъектов федерации.

8 балл. – Региональный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности от 500 до 1000 чел., материальный ущерб составил от 0,5 до 5 млн. МРОТ, зона ЧС в пределах 2-х субъектов федерации.

6 балл. – Территориальный уровень. Пострадало от 50 до 500 чел., нарушены условия жизнедеятельности от 300 до 500чел., материальный ущерб составил от 5 000 до 0,5 млн. МРОТ, зона ЧС в пределах субъекта федерации.

4 балл. – Местный уровень. Пострадало от 10 до 100 чел., нарушены условия жизнедеятельности от 100 до 300чел., материальный ущерб составил от 1 000 до 5 000. МРОТ, зона ЧС в пределах НП, города, района..

2 балл. – Объектовый (локальный) уровень. Пострадало до 10 чел., нарушены условия жизнедеятельности до 100чел., материальный ущерб составил до 1 000. МРОТ, зона ЧС в пределах территории производственного и социального назначения

3 показатель

10 балл. – Система подключена к сетям общего пользования;

5 балл. – Корпоративная система без подключения к сетям общего пользования и в ней для передачи информации используются выделенные каналы;

2 балл. – Многопользовательская ЛВС с доступом к общим сетевым ресурсам без подключения к сетям общего пользования.

4 показатель

10 балл. – Система построена по схеме «Шина» или «Многопоточное включение»

8 балл. – Система построена по схеме «Многопользовательская звезда»;

6 балл. – Система построена по схеме «Кольцо»;

4 балл. – Система построена по схеме «Звезда» (имеется центральный узел, соединенный с периферийными узлами);

2 балл. – ИТКС представляет собой полносвязную сеть;

1 балл. – Наличие альтернативной системы связи.

Определение уровня критически важных систем информ. инфраструктуры страны (Ккр.)

Ккрит.=К1*К2*К3*К4.

если Ккрит.

Защита ключевых систем информационной инфраструктуры

Что такое ключевая система информационной инфраструктуры?

Ключевая система информационной инфраструктуры (КСИИ) - это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

Критически важный объект - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок.

Критически важная информация - это закрепленная в документации на КСИИ информация, уничтожение, блокирование или искажение которой может привести к нарушению функционирования КСИИ, а также информация о КСИИ (о ее составе, характеристиках управляемого процесса, характеристиках программного и программно-аппаратного обеспечения, размещении, коммуникациях), которая в случае ее хищения (ознакомления с ней) может быть непосредственно использована для деструктивных информационных воздействий на КСИИ.

Перечни критически важных объектов и критически важных систем составляются специально создаваемой группой экспертов, состав которой утверждается соответствующим руководителем федерального органа исполнительной власти (организации).

Основным признаком принадлежности объекта к критически важным является наличие на объекте экологически опасного или социально значимого производства или технологического процесса, нарушение штатного режима которого приводит к чрезвычайной ситуации определенного уровня и масштаба, а также наличие на объекте информационной системы (элементов системы), которая осуществляет функции управления чувствительными (важными) для Российской Федерации процессами и нарушение функционирования которой приводит к значительным негативным для страны последствиям.

Почему должны защищаться ключевые системы информационной инфраструктуры?

Многие зарубежные государства, а также террористические и криминальные структуры интенсивно совершенствуют методы и способы использования информационных технологий и средств для деструктивных информационных воздействий на информационные ресурсы информационно- телекоммуникационных систем и сетей государственных и негосударственных организаций. Такое применение информационных технологий и среде придает им свойства так называемого информационного оружия. Для нанесения значительного ущерба интересам государства и общества информационное оружие может быть применено и в мирное время, особенно террористическими организациями.

Нарушение функционирования критически важных информационно - телекоммуникационных систем и сетей (ключевых систем информационной инфраструктуры Российской Федерации) может привести к развитию чрезвычайных ситуаций, связанных с гибелью людей, экологическими катастрофами, нанесением крупного материальна финансового, экономического ущерба или крупномасштабными нарушениями жизнедеятельности городов и населенных пунктов и т.п.

Чем руководствоваться при организации защиты информации в ключевых системах информационной инфраструктуры?

При построении комплексной системы защиты критически важной информации в ключевых системах информационной инфраструктуры необходимо руководствоваться следующими документами:

• «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
• «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
• «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
• «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007);
• Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утв. 30.03.1992);
• Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. (утв. 25.07.1997);
• Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утв. 4.06.1999).

В случае возникновения дополнительных вопросов по защите ключевых систем Вы можете воспользоваться контактной информацией.

---

Смотрите также

• 
  Инспектор по пропаганде безопасности дорожного движения
• 
  Оперуполномоченный экономической безопасности и противодействия коррупции
• 
  Требования промышленной безопасности в газовом хозяйстве рк
• 
  Требования по обеспечению транспортной безопасности являются
• 
  Островок безопасности на дороге для чего нужен
• 
  У вас нет разрешения на просмотр свойств безопасности данного объекта
• 
  Проверка службы безопасности при приеме на работу
• 
  Расстояние между стеллажами на складе по пожарной безопасности
• 
  Система обеспечения пожарной безопасности это
• 
  Поведенческий аудит безопасности примеры
• 
  Промышленная безопасность обучение и аттестация