Как разобраться в требованиях 187-ФЗ и подзаконных актов? Как определить, является ли процесс критическим, а объект - значимым? Как правильно присвоить категорию значимости объекту КИИ? Как экономически обоснованно определить мероприятия по обеспечению безопасности значимых объектов КИИ и спроектировать систему защиты?
Специалисты UBS знают ответы.

Услуги


Обеспечение соответствия деятельности 187-ФЗ «О безопасности критической информационной инфраструктуры» и подзаконным актам

Аудит деятельности и оценка её соответствия нормативно-правовым актам

  • Обследование деятельности организации (интервьирование ключевых специалистов, сбор данных об ИТ-инфраструктуре, анализ бизнес-процессов, организационно-распорядительной документации и т.д.)
  • Сбор исходных данных для категорирования объектов КИИ
  • Оценка соответствия текущего состояния нормативно-правовым актам
  • Разработка рекомендаций для обеспечения соответствия

Результат: отчёт по результатам аудита с оценкой соответствия и рекомендациями по обеспечению соответствия деятельности нормативно-правовым актам.

Категорирование объектов критической информационной инфраструктуры

  • Моделирование угроз безопасности информации в отношении значимых объектов КИИ
  • Оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на значимых объектах КИИ в соответствии с перечнем показателей критериев значимости
  • Присвоение каждому из значимых объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему категории значимости

Результат: заполненная форма, утверждаемая федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ.

Разработка/актуализация проектов организационно-распорядительной документации, регламентирующей обеспечение безопасности КИИ

Результат: комплект проектов организационно-распорядительной документации.

Разработка технического задания на создание системы защиты КИИ

Результат: техническое задание на создание системы защиты КИИ.

Разработка технического проекта системы защиты КИИ

Результат: технический проект системы защиты КИИ.

В рамках оказания услуг обеспечивается полное соответствие следующим нормативно-правовым актам:

  • Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ;
  • Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 193-ФЗ;
  • Федеральный закон «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 194-ФЗ;
  • Постановление Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Аудит соответствия деятельности по использованию, вводу/выводу в/из эксплуатации и модернизации АСУ ТП

Аудит соответствия деятельности (включая внутреннюю организационно-распорядительную документацию) по использованию, вводу/выводу в/из эксплуатации и модернизации АСУ ТП, действующим нормативным документам (законодательство РФ, ГОСТы, ОСТы, РД и т.д.), а также стандартам (NIST SP800-82, ISA SP99, NERC CIP v5, IEC 61784-4 и др.) и «лучшим практикам» в области защиты ключевых систем информационной инфраструктуры (КСИИ), критически важных объектов, технологических систем, обеспечения безопасности программно-аппаратных комплексов и данных.

В рамках аудита соответствия деятельности, в частности, оказываются услуги по приведению текущего состояния деятельности в соответствие с требованиями следующих базовых нормативных документов РФ:

  • приказ ФСТЭК России от 14 марта 2014 г. №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
  • федеральный закон от 21 июля 2011 г. N 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»
  • методический документ ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007
  • методический документ ФСТЭК России «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007
  • методический документ ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 18.05.2007 (в части не противоречащей Приказу ФСТЭК России №31)
  • методический документ ФСТЭК России «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утв. ФСТЭК России 19.11.2007 (в части не противоречащей Приказу ФСТЭК России №31)
  • методический документ ФСТЭК России «Положение о реестре ключевых систем информационной инфраструктуры», утв. ФСТЭК России 04.03.2009
  • методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации, утв. ФСТЭК России 18.11.2008
  • методические рекомендации по формированию аналитического прогноза по комплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период, утв. ФСТЭК России 23.04.2011
  • ГОСТ РО 0043-002-2012. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов
  • положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утв. Приказом ФСТЭК России от 29 мая 2009 г. №191

Результат: отчёт, содержащий оценку соответствия, перечень несоответствий, рекомендации по их устранению, а также перечень мер, реализация которых позволит обеспечить соответствие деятельности заданным требованиям.

Аудит защищённости программно-технических компонентов АСУ ТП

Аудит защищённости программно-технических компонентов АСУ ТП выполняется на следующих уровнях:

  • уровень полевых датчиков и исполнительных механизмов (актуаторы, заслонки, клапаны и др.)
  • уровень автоматического управления и учёта (программируемые логические и настраиваемые контроллеры (ПЛК), реле и др.)
  • уровень оперативного управления и диспетчеризации (распределенная система управления, системы управления OPC-серверами и клиентами, системы человеко-машинного интерфейса (HMI))

В частности, оказываются следующие услуги:

  • анализ защищённости программируемых логических контроллеров
  • обеспечение безопасности на сетевом уровне
  • аудит систем резервирования
  • анализ защищённости сегментов промышленной сети и обмена данными между нею и внешними узлами
  • проверка процедур обновления системного и прикладного программного обеспечения

Результат: отчёт, содержащий описание выявленных уязвимостей, недостатков конфигураций и несоответствий ИБ-политикам и рекомендации по их устранению с целью повышения уровня защищённости АСУ ТП.

Вопросы? Ответим в течение часа.