Обеспечение безопасности субъекта критической информационной инфраструктуры | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №20 (362) май 2021 г.

Дата публикации: 13.05.2021

Статья просмотрена: 244 раза

Библиографическое описание:

Королев, В. Н. Обеспечение безопасности субъекта критической информационной инфраструктуры / В. Н. Королев. — Текст : непосредственный // Молодой ученый. — 2021. — № 20 (362). — С. 31-33. — URL: https://moluch.ru/archive/362/80964/ (дата обращения: 16.12.2024).



Ключевые слова: критическая информационная инфраструктура, информационная безопасность, обеспечение безопасности, защита информации.

В 2017 году новый Федеральный закон в сфере информационной безопасности «О безопасности критической информационной инфраструктуры Российской Федерации» [1] ввел такое понятие, как критическая информационная инфраструктура (далее — КИИ). Данное понятие широко охватывает вопросы обеспечения информационной безопасности на объекте. На сегодняшний день развитие информационных технологий занимает лидирующие позиции в мире. В Российской Федерации активно внедряются различные государственные информационные системы, а также коммерческие проекты, направленные на работу с пользователями. В связи с этим надо понимать, что объекты критической информационной инфраструктуры без должной защиты являются весьма уязвимыми, в случае если злоумышленник получит к ним доступ, то под угрозой может оказаться большое количество пользователей. Таким образом, в данной статье будут рассмотрены три основных вопроса, которые связаны с обеспечением безопасности на объекте с критической информационной инфраструктурой:

  1. Какими документами необходимо руководствоваться при обеспечении безопасности субъекта КИИ?
  2. Как определить, относится ли организация к субъекту КИИ?
  3. Как обеспечить безопасность объекта КИИ?

Перейдем к первому вопросу данной статьи: «Какими документами необходимо руководствоваться при обеспечении безопасности субъекта КИИ?»

Основным документом о безопасности КИИ является Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» [1]. Далее идут Постановления Правительства и приказы ведомств, отвечающих за безопасности КИИ.

Для построения системы защиты информации на субъекте КИИ в 2018 году Правительство утвердило два постановления, а именно:

— Постановление Правительства РФ № 127 [2], в котором подробно описан процесс проведения категорирования объектов КИИ;

— Постановление Правительства РФ № 162 [3], в котором устанавливается порядок осуществления мероприятий по государственному контролю в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Согласно указу [4], обеспечение безопасности КИИ возложено на ФСТЭК России, таким образом в Федеральной службе по техническому и экспортному контролю Российской Федерации в 2017 году утвердили 5 приказов, которые регламентируют работу с субъектами КИИ, а именно:

— Приказ № 227 [5], который определяет правила формирования и ведения Реестра значимых объектов критической информационной инфраструктуры Российской Федерации;

— Приказ № 229 [6], который определяет форму акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;

— Приказ № 235 [7], который устанавливает требования к созданию субъектами критической информационной инфраструктуры Российской Федерации систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

— Приказ № 236 [8], который устанавливает форму направления сведения о присвоении или об отсутствии необходимости присвоения категории значимости;

— Приказ № 239 [9], который устанавливает требования по обеспечению безопасности объектов КИИ РФ.

Перейдем ко второму вопросу данной статьи: «Как определить, относится ли организация к субъекту КИИ?

Для определения того, относится ли организация к субъекту критической информационной инфраструктуры, необходимо определить сферу деятельности предприятия. Для определения сферы деятельности необходимо в учредительной документации ознакомится с кодами ОКВЭД, присвоенными организации. Каждая сфера деятельности имеет свой код, так сфера деятельности в области здравоохранения имеет код 86-й серии, в области образования — 85-ый и т. д. Согласно Федеральному закону [1] к предприятиям с критической информационной инфраструктурой могу быть отнесены организации функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. В случае наличия лицензий или других разрешительных документов, на указанные выше виды деятельности, также можно сделать вывод о том, что предприятие является субъектом КИИ.

Теперь перейдем к третьему вопросу данной статьи. Как обеспечить безопасность объекта КИИ?

На первом этапе необходимо произвести категорирование объекта КИИ. Алгоритм категорирования объекта КИИ выглядит следующим образом:

— определяем, относится ли наша организация к субъекту КИИ;

— выявляем процессы, которые имеют место быть в нашей организации, будь то управленческие процессы, технологические, экономические и т. д.;

— из выявленных процессов необходимо определить те процессы, которые несут в себе критический характер в случае сбоя;

— теперь определяем объекты, которые производят обработку критических процессов, а также осуществляют контроль и управление критической системой;

— далее необходимо обратиться к Постановлению Правительства РФ [2], в котором с помощью перечня показателей критериев значимости объектов КИИ можно определить, к какой категории относится объект КИИ;

— последним этапом при категорировании является отправка во ФСТЭК России акта о «Категорирование объекта КИИ».

После определения категории субъекта КИИ, необходимо приступить к разработке и внедрению системы обеспечения информационной безопасности. Для обеспечения безопасности необходимо разработать и внедрить организационные и технические меры по обеспечению безопасности значимого объекта. Согласно приказу ФСТЭК России [9], система обеспечения информационной безопасности объекта КИИ должна в себя включать:

— разработку модели угроз, а также анализ угроз информационной безопасности;

— проектирование подсистемы защиты информации;

— разработку документации.

К организационным мерам, применяемым для обеспечения безопасности значимого объекта критической информационной инфраструктуры, относятся следующие меры:

— установление контролируемой зоны;

— контроль физического доступа к объекту;

— разработка и внедрение регламентов, положений, инструкций, политик по обеспечению безопасности;

— аудит безопасности;

— обучение персонала.

Также необходимо определить администратора информационной безопасности. Под администратором информационной безопасности подразумевается субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации [11].

Технические меры по обеспечению информационной безопасности, субъекта КИИ реализуются путем применения программных и программно-аппаратных средств защиты информации. К техническим мерам, применяемым для обеспечения безопасности значимого объекта критической информационной инфраструктуры, относятся следующие меры:

— идентификация и аутентификация пользователей системы;

— управление доступом;

— ограничение программной среды

— защита машинных носителей информации;

— управление конфигурацией.

Все используемые средства защиты информации на объекте КИИ должны быть сертифицированы по требованиям безопасности информации. На объектах первой категории значимости применяются средства защиты информации не ниже четвертого класса защиты, на объектах второй категории значимости применяются не ниже пятого класса защиты, на объектах третьей категории значимости применяются не ниже шестого класса защиты.

Таким образом, для обеспечения информационной безопасности субъекта критической информационной инфраструктуры сначала необходимо произвести тщательный анализ и определить, является ли субъект субъектом КИИ. Далее проводится категорирование объекта КИИ и определяется категория для дальнейшего построения системы защиты. Безопасности субъекта КИИ достигается путем внедрения организационных и технических мер, которые направлены на нейтрализацию угроз информационной безопасности.

Литература:

  1. О безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон от 26 июля 2017 г. № 187-ФЗ
  2. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ от 8 февраля 2018 г. № 127.
  3. Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Постановление Правительства РФ от 17 февраля 2018 г. № 162.
  4. О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085: Указ Президента Российской Федерации от 25.11.2017 г. № 569.
  5. Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227.
  6. Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 11 декабря 2017 г. № 229.
  7. Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235.
  8. Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: Приказ Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236.
  9. Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239.
  10. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: утвержден решением председателя Гостехкомиссии России от 30.03.1992 г.
Основные термины (генерируются автоматически): критическая информационная инфраструктура, информационная безопасность, обеспечение безопасности, Российская Федерация, субъект КИИ, КИй, категория значимости, класс защиты, Постановление Правительства РФ, сфера деятельности.


Похожие статьи

Критическая информационная инфраструктура как объект обеспечения безопасности

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Защита информации в информационных системах

В данной статье рассматриваются особенности политики защиты информации в информационных системах и построения систем защиты информации.

Обеспечение защиты информации в виртуализированной инфраструктуре

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Философская интерпретация безопасности жизнедеятельности

Статья посвящена философскому анализу безопасности как социального явления и научной категории, ее феномена, атрибутов, определению философии безопасности как методологической основы образования в области безопасности жизнедеятельности.

Технологии и методы обеспечения комплексной защиты информации

Проблемы защиты информации в компьютерной сети

Рассмотрена актуальная проблема защиты информации и персональных данных в информационных системах.

Информационная безопасность как приоритет национальной безопасности

В статье рассматривается вопрос об информационной безопасности как приоритетном направлении национальной безопасности в условиях современной реальности, актуальных вызовов и угроз.

Методы оценки информационной безопасности сетей телекоммуникаций

В данной статье рассмотрены современное состояние и подходы к оценке информационной безопасности сетей телекоммуникации. Дан краткий анализ задач оценки информационной безопасности. Оценка информационной безопасности производится с целью проверки соо...

Похожие статьи

Критическая информационная инфраструктура как объект обеспечения безопасности

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Защита информации в информационных системах

В данной статье рассматриваются особенности политики защиты информации в информационных системах и построения систем защиты информации.

Обеспечение защиты информации в виртуализированной инфраструктуре

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Философская интерпретация безопасности жизнедеятельности

Статья посвящена философскому анализу безопасности как социального явления и научной категории, ее феномена, атрибутов, определению философии безопасности как методологической основы образования в области безопасности жизнедеятельности.

Технологии и методы обеспечения комплексной защиты информации

Проблемы защиты информации в компьютерной сети

Рассмотрена актуальная проблема защиты информации и персональных данных в информационных системах.

Информационная безопасность как приоритет национальной безопасности

В статье рассматривается вопрос об информационной безопасности как приоритетном направлении национальной безопасности в условиях современной реальности, актуальных вызовов и угроз.

Методы оценки информационной безопасности сетей телекоммуникаций

В данной статье рассмотрены современное состояние и подходы к оценке информационной безопасности сетей телекоммуникации. Дан краткий анализ задач оценки информационной безопасности. Оценка информационной безопасности производится с целью проверки соо...

Задать вопрос