Привести определение и примеры потенциально опасных объектов.

Потенциально опасный объект (ПОО) – это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более 5 тысяч человек.

К особо опасным и технически сложным объектам относятся:

1) объекты использования атомной энергии (в том числе ядерные установки, пункты хранения ядерных материалов и радиоактивных веществ, пункты хранения радиоактивных отходов);

2) гидротехнические сооружения первого и второго классов, устанавливаемые в соответствии с законодательством о безопасности гидротехнических сооружений;

3) сооружения связи, являющиеся особо опасными, технически сложными в соответствии с законодательством Российской Федерации в области связи;

4) линии электропередачи и иные объекты электросетевого хозяйства напряжением 330 киловольт и более;

5) объекты космической инфраструктуры;

6) объекты авиационной инфраструктуры;

7) объекты инфраструктуры железнодорожного транспорта общего пользования;

8) метрополитены;

9) морские порты, за исключением объектов инфраструктуры морского порта, предназначенных для стоянок и обслуживания маломерных, спортивных парусных и прогулочных судов;

10) утратил силу. – Федеральный закон от 08.11.2007 № 257-ФЗ;

10.1) тепловые электростанции мощностью 150 мегаватт и выше;

10.2) подвесные канатные дороги;

11) опасные производственные объекты, подлежащие регистрации в государственном реестре в соответствии с законодательством Российской Федерации о промышленной безопасности опасных производственных объектов:

а) опасные производственные объекты I и II классов опасности, на которых получаются, используются, перерабатываются, образуются, хранятся, транспортируются, уничтожаются опасные вещества;

б) опасные производственные объекты, на которых получаются, транспортируются, используются расплавы черных и цветных металлов, сплавы на основе этих расплавов с применением оборудования, рассчитанного на максимальное количество расплава 500 килограммов и более;

в) опасные производственные объекты, на которых ведутся горные работы (за исключением добычи общераспространенных полезных ископаемых и разработки россыпных месторождений полезных ископаемых, осуществляемых открытым способом без применения взрывных работ), работы по обогащению полезных ископаемых.

К уникальным объектам относятся объекты капитального строительства (за исключением указанных в части 1 настоящей статьи), в проектной документации которых предусмотрена хотя бы одна из следующих характеристик:

1) высота более чем 100 метров;

2) пролеты более чем 100 метров;

3) наличие консоли более чем 20 метров;

4) заглубление подземной части (полностью или частично) ниже планировочной отметки земли более чем на 15 метров.

Объекты критической информационной инфраструктуры. Дать

определение и примеры.

Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Все ИС, ИТС и АСУ субъекта КИИ – это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Основные мероприятия, обеспечивающие защиту информации на объекте КИИ.

Порядок определения класса защищённости при проектировании

объекта КИИ.

Определение категорий значимости объектов КИИ осуществляется на

основании показателей критериев значимости и их значений, утвержденных 127ПП.

При категорировании осуществляется:

‒анализ возможных источников угроз и действий нарушителей;

‒анализ возможных угроз безопасности информации, которые могут привести к

возникновению компьютерных инцидентов критической информационной инфраструктуры;

‒оценка масштаба последствий угроз и соотнесение со значениями показателей категорий;

‒определение категории значимости объекта КИИ.

Порядок проектирования системы защиты автоматизированной

системы управления.

При проектировании системы защиты автоматизированной системы управления:

определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);

определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;

выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;

определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;

определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;

осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;

определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;

осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.

При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.

Pезультаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании

автоматизированных систем» (далее - ГОСТ 34.201) и стандартов организации.