Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры
Методические документы ФСТЭК России по обеспечению безопасности информации в ключевых системах информационной инфраструктуры
- Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры;
- Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;
- Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
- Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
- Положение о реестре ключевых систем информационной инфраструктуры.
Указанные документы имеют гриф «Для служебного пользования» и распространяются, в основном, среди лицензиатов.
В соответствии с указанными методическими документам к ключевым системам информационной инфраструктуры относятся системы, обеспечивающие управление потенциально опасными производствами или технологическими процессами на объектах, а также обеспечивающие функционирование информационно-опасных объектов, осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами (за исключением процессов на потенциально опасных объектах).
Автоматизированные системы управления производственными и технологическими процессами подлежат отнесению к соответствующему уровню важности в соответствии с утвержденной системой признаков и включаются в реестр ключевых систем информационной инфраструктуры в порядке, установленном Положением о реестре ключевых систем 3 информационной инфраструктуры (приказ ФСТЭК России от 4 марта 2009 г. № 74).
Для определения угроз безопасности информации в автоматизированных системах управления производственными и технологическими процессами применяются методические документы ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры»
Методические документы ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» и «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» могут применяться при защите автоматизированных систем управления производственными и технологическими процессами в качестве дополнительного методического материала, в части не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 14 марта 2014 г. № 31.
Защита КСИИ – ключевых систем информационной инфраструктуры
Другими словами, КСИИ – это информационная система, расположенная на критически важных объектах, и работа которой может повлиять на их функционирование и вызвать техногенную, экологическую или финансовую катастрофу. Перечень таких объектов был утвержден постановлением Правительства РФ от 23.03.2006 №411-рс (Гриф секретно) и включает в себя более 2000 объектов следующих категорий:
- Ядерно- и/или радиационно-опасные
- Химически-опасные
- Взрыво- и пожароопасные объекты
- Биологически опасные
- Опасные технические сооружения
- Объекты государственного управления, финансово-кредитной, информационной и телекоммуникационной инфраструктуры
Несмотря на то, что в 2016 году было уделено особое внимание вопросам информационной безопасности и были приняты новые федеральные законы, регламентирующие защиту КИИ, с точки зрения реализации средств защиты основополагающими являются следующие документы (ДСП):
- «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
- «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
- «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
- «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007)
Дать определение ключевой системе информационной инфраструктуры (КСИИ). Какие существуют уровни важности КСИИ.
Ключевая система информационной инфраструктуры – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Таким образом, понятие ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей. Например:
транспортная инфраструктура инфраструктура газонефтяного комплекса инфраструктура водоснабжения инфраструктура служб экстренной помощи инфраструктура органов власти банковская и финансовая инфраструктура инфраструктура электроэнергетики географические и навигационные системы
В настоящее время в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры разработана и утверждена система методических документов, основными из которых являются:
а) Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий
б) Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры
в) Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры
г) Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры
д) Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры
е) Положение о реестре ключевых систем информационной инфраструктуры
Существуют 3 уровня важности (1 – самый высший; 3 – самый низший) КСИИ, каждый из которых рассчитывается по системе 4-х показателей, оцениваемых по 10-ти бальной системе:
К1 – показатель влияния функционирования системы на информатизируемый процесс;
К2 – показатель величины возможного ущерба, вызванного нарушением функционирования системы;
К3 – показатель влияния открытости доступа к сетевым ресурсам на возможность нанесения ущерба;
К4 – показатель влияния топологии системы на возможность нанесения ущерба.
1 показатель
Если информатизируемый процесс полностью зависит от функционирования системы, то К1=10.
Если информатизируемый процесс лишь частично зависит от функционирования системы, то значения показателя К1 устанавливаются в зависимости от наличия следующих условий:
имеется альтернативная система, позволяющая осуществлять управление процессом или верификацию данных и снизить риск его прерывания или неконтролируемого развития – К1=2;
отсутствует альтернативная система, но имеется возможность управления процессом без средств автоматизации с риском его прерывания или неконтролируемого развития – К1=5;
отсутствует возможность управления процессом без средств автоматизации, имеется риск подмены данных и возможность блокирования неконтролируемого развития процесса – К1=8.
2 показатель
10 балл. – Федеральный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности более 1000 чел., материальный ущерб составил более 5 млн. МРОТ, зона ЧС вышла за пределы 2-х субъектов федерации.
8 балл. – Региональный уровень. Пострадало более 500 чел., нарушены условия жизнедеятельности от 500 до 1000 чел., материальный ущерб составил от 0,5 до 5 млн. МРОТ, зона ЧС в пределах 2-х субъектов федерации.
6 балл. – Территориальный уровень. Пострадало от 50 до 500 чел., нарушены условия жизнедеятельности от 300 до 500чел., материальный ущерб составил от 5 000 до 0,5 млн. МРОТ, зона ЧС в пределах субъекта федерации.
4 балл. – Местный уровень. Пострадало от 10 до 100 чел., нарушены условия жизнедеятельности от 100 до 300чел., материальный ущерб составил от 1 000 до 5 000. МРОТ, зона ЧС в пределах НП, города, района..
2 балл. – Объектовый (локальный) уровень. Пострадало до 10 чел., нарушены условия жизнедеятельности до 100чел., материальный ущерб составил до 1 000. МРОТ, зона ЧС в пределах территории производственного и социального назначения
3 показатель
10 балл. – Система подключена к сетям общего пользования;
5 балл. – Корпоративная система без подключения к сетям общего пользования и в ней для передачи информации используются выделенные каналы;
2 балл. – Многопользовательская ЛВС с доступом к общим сетевым ресурсам без подключения к сетям общего пользования.
4 показатель
10 балл. – Система построена по схеме «Шина» или «Многопоточное включение»
8 балл. – Система построена по схеме «Многопользовательская звезда»;
6 балл. – Система построена по схеме «Кольцо»;
4 балл. – Система построена по схеме «Звезда» (имеется центральный узел, соединенный с периферийными узлами);
2 балл. – ИТКС представляет собой полносвязную сеть;
1 балл. – Наличие альтернативной системы связи.
Определение уровня критически важных систем информ. инфраструктуры страны (Ккр.)
Ккрит.=К1*К2*К3*К4.
если Ккрит.
Защита ключевых систем информационной инфраструктуры
Что такое ключевая система информационной инфраструктуры?
Ключевая система информационной инфраструктуры (КСИИ) - это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Критически важный объект - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок.
Критически важная информация - это закрепленная в документации на КСИИ информация, уничтожение, блокирование или искажение которой может привести к нарушению функционирования КСИИ, а также информация о КСИИ (о ее составе, характеристиках управляемого процесса, характеристиках программного и программно-аппаратного обеспечения, размещении, коммуникациях), которая в случае ее хищения (ознакомления с ней) может быть непосредственно использована для деструктивных информационных воздействий на КСИИ.
Перечни критически важных объектов и критически важных систем составляются специально создаваемой группой экспертов, состав которой утверждается соответствующим руководителем федерального органа исполнительной власти (организации).
Основным признаком принадлежности объекта к критически важным является наличие на объекте экологически опасного или социально значимого производства или технологического процесса, нарушение штатного режима которого приводит к чрезвычайной ситуации определенного уровня и масштаба, а также наличие на объекте информационной системы (элементов системы), которая осуществляет функции управления чувствительными (важными) для Российской Федерации процессами и нарушение функционирования которой приводит к значительным негативным для страны последствиям.
Почему должны защищаться ключевые системы информационной инфраструктуры?
Многие зарубежные государства, а также террористические и криминальные структуры интенсивно совершенствуют методы и способы использования информационных технологий и средств для деструктивных информационных воздействий на информационные ресурсы информационно- телекоммуникационных систем и сетей государственных и негосударственных организаций. Такое применение информационных технологий и среде придает им свойства так называемого информационного оружия. Для нанесения значительного ущерба интересам государства и общества информационное оружие может быть применено и в мирное время, особенно террористическими организациями.
Нарушение функционирования критически важных информационно - телекоммуникационных систем и сетей (ключевых систем информационной инфраструктуры Российской Федерации) может привести к развитию чрезвычайных ситуаций, связанных с гибелью людей, экологическими катастрофами, нанесением крупного материальна финансового, экономического ущерба или крупномасштабными нарушениями жизнедеятельности городов и населенных пунктов и т.п.
Чем руководствоваться при организации защиты информации в ключевых системах информационной инфраструктуры?
При построении комплексной системы защиты критически важной информации в ключевых системах информационной инфраструктуры необходимо руководствоваться следующими документами:
- «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
- «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
- «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007);
- «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007);
- Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утв. 30.03.1992);
- Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. (утв. 25.07.1997);
- Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утв. 4.06.1999).
В случае возникновения дополнительных вопросов по защите ключевых систем Вы можете воспользоваться контактной информацией.