Лекции КЗИ / Лекция_КЗИ_full
.pdfПо решению субъекта инфраструктуры план мероприятий может разрабатываться на более длительный срок с учетом имеющихся программ (планов) по модернизации, оснащению ее значимых объектов.
План мероприятий разрабатывается структурным подразделением по безопасности, специалистами по безопасности с участием подразделений (работников), эксплуатирующих значимые объекты инфраструктуры, и подразделений (работников), обеспечивающих функционирование значимых объектов инфраструктуры.
30. План мероприятий должен содержать наименования мероприятий по обеспечению безопасности значимых объектов инфраструктуры, сроки их выполнения, наименования подразделений (работников), ответственных за реализацию каждого мероприятия. В план мероприятий включаются мероприятия по обеспечению функционирования системы безопасности, а также организационные и технические мероприятия по обеспечению безопасности ее значимых объектов, направленные на решение задач,
установленных пунктом 6 настоящих Требований.
32
31. Разработка мероприятий по обеспечению безопасности объектов инфраструктуры осуществляется в соответствии с настоящими требованиями, требованиями по безопасности, иными нормативными правовыми актами по обеспечению безопасности инфраструктуры, а также организационнораспорядительными документами по безопасности значимых объектов. План мероприятий утверждается руководителем субъекта критической информационной инфраструктуры и доводится до подразделений субъекта инфраструктуры в части, их касающейся.
32.Контроль за выполнением плана мероприятий осуществляется структурным подразделением по безопасности, специалистами по безопасности. Они ежегодно должны готовить отчет о выполнении плана мероприятий, который представляется руководителю субъекта инфраструктуры.
33.Мероприятия по обеспечению безопасности значимых объектов инфраструктуры могут включаться в общий план деятельности субъекта инфраструктуры (в случае его разработки) отдельным разделом. Порядок разработки, утверждения и внесения изменений в план мероприятий определяется ее субъектом в организационно-распорядительных документах по безопасности значимых объектов.
33
34. Реализация (внедрение) мероприятий по обеспечению безопасности ее значимых объектов является результатом выполнения плана мероприятий и осуществляется в соответствии с организационно-распорядительными документами по безопасности значимых объектов.
В ходе реализации мероприятий по обеспечению безопасности значимых объектов должны приниматься организационные меры и внедряться средства защиты информации на значимых объектах критической информации, направленные на блокирование (нейтрализацию) угроз безопасности информации.
Результаты реализации мероприятий по обеспечению безопасности ее значимых объектов подлежат документированию в порядке, установленном субъектом инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.
35. В рамках контроля состояния безопасности значимых объектов инфраструктуры должен осуществляться внутренний контроль организации работ по обеспечению безопасности ее значимых объектов и эффективности принимаемых организационных и технических мер.
34
Входе проведения контроля проверяется выполнение настоящих Требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры, а также организационно-распорядительных документов по безопасности значимых объектов.
36.Контроль проводится ежегодно комиссией, назначаемой субъектом инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов инфраструктуры.
По решению субъекта инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта инфраструктуры.
Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности ее значимых объектов могут применяться средства контроля (анализа) защищенности.
Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем субъекта инфраструктуры (уполномоченным лицом).
Вслучае проведения по решению руководителя субъекта инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов
инфраструктуры внутренний контроль может не проводиться. |
35 |
Для проведения внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).
Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта инфраструктуры (уполномоченным лицом).
37. В рамках совершенствования безопасности значимых объектов инфраструктуры структурное подразделение по безопасности, специалисты по безопасности должны проводить анализ функционирования системы безопасности и состояния безопасности ее значимых объектов, по результатам которого разрабатывать предложения по развитию системы безопасности и меры по совершенствованию безопасности значимых объектов инфраструктуры.
Анализ функционирования системы безопасности, а также разработка предложений по совершенствованию безопасности значимых объектов
инфраструктуры |
осуществляются |
структурным |
подразделением |
по |
безопасности, специалистами по безопасности с участием подразделений (работников), эксплуатирующих значимые объекты инфраструктуры, и
подразделений, обеспечивающих функционирование значимых объектов
инфраструктуры.
36
Предложения по совершенствованию безопасности значимых объектов инфраструктуры представляются руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу).
В соответствии с решением руководителя субъекта инфраструктуры (уполномоченного лица) предложения по совершенствованию безопасности значимых объектов КИИ включаются в план мероприятий, разрабатываемый в соответствии с пунктами 29-33 настоящих Требований.
37
Доктрина информационной безопасности России
Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»
Национальными интересами в информационной сфере являются:
-обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры, в первую очередь критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) и единой сети электросвязи Российской Федерации, в мирное время, в период непосредственной угрозы агрессии и в военное время;
-развитие в Российской Федерации отрасли информационных технологий и электронной промышленности, а также совершенствование деятельности производственных, научных и научно-технических организаций по разработке, производству и эксплуатации средств обеспечения информационной безопасности, оказанию услуг в области обеспечения информационной безопасности;
-содействие формированию системы международной информационной безопасности, направленной на противодействие угрозам использования информационных технологий в целях нарушения стратегической стабильности, на укрепление равноправного стратегического партнерства в области
информационной безопасности, а также на защиту суверенитета Российской1 Федерации в информационном пространстве.
2
Состояние информационной безопасности в экономической сфере характеризуется недостаточным уровнем развития конкурентоспособных информационных технологий и их использования для производства продукции и оказания услуг. Остается высоким уровень зависимости от зарубежных информационных технологий в части, касающейся электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи, что обусловливает зависимость от геополитических интересов зарубежных стран.
Состояние информационной безопасности в области науки, технологий и образования характеризуется недостаточной эффективностью научных исследований, направленных на создание перспективных информационных технологий, низким уровнем внедрения отечественных разработок и недостаточным кадровым обеспечением в области информационной безопасности, а также низкой осведомленностью граждан в вопросах обеспечения личной информационной безопасности. При этом мероприятия по обеспечению безопасности информационной инфраструктуры с использованием отечественных информационных технологий и отечественной продукции зачастую не имеют комплексной основы.
Состояние информационной безопасности в области стратегической стабильности и равноправного стратегического партнерства характеризуется стремлением отдельных государств использовать технологическое превосходство для доминирования в информационном пространстве. Существующее распределение между странами ресурсов, необходимых для обеспечения функционирования сети «Интернет», не позволяет реализовать3 совместное справедливое, основанное на принципах доверия управление ими.
Основными направлениями обеспечения информационной безопасности являются:
-пресечение деятельности, наносящей ущерб национальной безопасности РФ, осуществляемой с использованием технических средств и информационных технологий спецслужбами иностранных государств и отдельными лицами;
-повышение защищенности КИИ и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты КИИ;
-повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования единой сети электросвязи РФ, а также безопасности ее и передаваемой информации;
-обеспечение защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа и распространения, в том числе за счет повышения защищенности соответствующих информационных технологий;
-совершенствование методов и способов производства и безопасного
применения продукции, оказания услуг на основе информационных технологий с использованием отечественных разработок, удовлетворяющих требованиям4 информационной безопасности.