- •10.03.01 Информационная безопасность
- •Привести определение и примеры критически важных объектов.
- •Привести определение и примеры потенциально опасных объектов.
- •Порядок ввода в действие и наладки системы защиты объекта кии.
- •Защита информации в ходе эксплуатации объекта кии.
- •Требования к мерам защиты информации.
- •Классы защищённости систем управления.
- •Санкт-Петербург
Привести определение и примеры потенциально опасных объектов.
Потенциально опасный объект (ПОО) – это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более 5 тысяч человек.
К особо опасным и технически сложным объектам относятся:
1) объекты использования атомной энергии (в том числе ядерные установки, пункты хранения ядерных материалов и радиоактивных веществ, пункты хранения радиоактивных отходов);
2) гидротехнические сооружения первого и второго классов, устанавливаемые в соответствии с законодательством о безопасности гидротехнических сооружений;
3) сооружения связи, являющиеся особо опасными, технически сложными в соответствии с законодательством Российской Федерации в области связи;
4) линии электропередачи и иные объекты электросетевого хозяйства напряжением 330 киловольт и более;
5) объекты космической инфраструктуры;
6) объекты авиационной инфраструктуры;
7) объекты инфраструктуры железнодорожного транспорта общего пользования;
8) метрополитены;
9) морские порты, за исключением объектов инфраструктуры морского порта, предназначенных для стоянок и обслуживания маломерных, спортивных парусных и прогулочных судов;
10) утратил силу. – Федеральный закон от 08.11.2007 № 257-ФЗ;
10.1) тепловые электростанции мощностью 150 мегаватт и выше;
10.2) подвесные канатные дороги;
11) опасные производственные объекты, подлежащие регистрации в государственном реестре в соответствии с законодательством Российской Федерации о промышленной безопасности опасных производственных объектов:
а) опасные производственные объекты I и II классов опасности, на которых получаются, используются, перерабатываются, образуются, хранятся, транспортируются, уничтожаются опасные вещества;
б) опасные производственные объекты, на которых получаются, транспортируются, используются расплавы черных и цветных металлов, сплавы на основе этих расплавов с применением оборудования, рассчитанного на максимальное количество расплава 500 килограммов и более;
в) опасные производственные объекты, на которых ведутся горные работы (за исключением добычи общераспространенных полезных ископаемых и разработки россыпных месторождений полезных ископаемых, осуществляемых открытым способом без применения взрывных работ), работы по обогащению полезных ископаемых.
К уникальным объектам относятся объекты капитального строительства (за исключением указанных в части 1 настоящей статьи), в проектной документации которых предусмотрена хотя бы одна из следующих характеристик:
1) высота более чем 100 метров;
2) пролеты более чем 100 метров;
3) наличие консоли более чем 20 метров;
4) заглубление подземной части (полностью или частично) ниже планировочной отметки земли более чем на 15 метров.
Объекты критической информационной инфраструктуры. Дать
определение и примеры.
Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Все ИС, ИТС и АСУ субъекта КИИ – это объекты КИИ.
ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.
Основные мероприятия, обеспечивающие защиту информации на объекте КИИ.
Порядок определения класса защищённости при проектировании
объекта КИИ.
Определение категорий значимости объектов КИИ осуществляется на
основании показателей критериев значимости и их значений, утвержденных 127ПП.
При категорировании осуществляется:
‒анализ возможных источников угроз и действий нарушителей;
‒анализ возможных угроз безопасности информации, которые могут привести к
возникновению компьютерных инцидентов критической информационной инфраструктуры;
‒оценка масштаба последствий угроз и соотнесение со значениями показателей категорий;
‒определение категории значимости объекта КИИ.
Порядок проектирования системы защиты автоматизированной
системы управления.
При проектировании системы защиты автоматизированной системы управления:
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;
выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;
осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;
осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.
Pезультаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании
автоматизированных систем» (далее - ГОСТ 34.201) и стандартов организации.