Люди работают с людьми

Ключевые системы информационной инфраструктуры (КСИИ)

Организация, предприятие или компания, которая использует в своей деятельности критически важный объект (процесс),  использующий автоматизированные системы управления производственными и технологическими процессами, в результате деструктивных информационных воздействий на которые может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями должна осуществлять ее защиту от неправомерных воздействий согласно требованиям Совета безопасности Российской федерации, требованиям нормативным документов ФСТЭК России. Такие системы называются ключевыми системами информационной инфраструктуры. В перечень руководящих документов, относящихся к защите КСИИ, входят следующие:
-    Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв. Советом Безопасности Российской Федерации).
-    Федеральный закон Российской Федерации от 21 июля 2011 г. N 256-ФЗ
-    "О безопасности объектов топливно-энергетического комплекса".
-    "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры".
-    "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры".
-    "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры".
-    «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 19.11.2007).
«Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» (утв. Секретарем Совета Безопасности Российской Федерации 08.11.2005).
К критически важным сегментам информационной и телекоммуникационной инфраструктуры России относятся сегменты, образуемые системами, нарушение штатного режима функционирования которых может привести к нарушению функций управления чувствительными для Российской Федерации процессами, в том числе:
-    системы органов государственной власти и органов местного самоуправления;
-    системы финансово-кредитной и банковской деятельности;
-    системы предупреждения и ликвидации кризисных и чрезвычайных ситуаций;
-    географические и навигационные системы;
-    программно-технические комплексы центров управления взаимоувязанной сети связи России;
-    сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
-    системы специального назначения;
-    спутниковые системы, используемые для обеспечения органов управления и в специальных целях;
-    системы управления добычей и транспортировкой нефти, нефтепродуктов и газа;
-    системы управления водоснабжением;
-    системы управления энергоснабжением.
В информационных системах некоторых организаций может сложиться неоднозначная ситуация. С одной стороны, в системе обрабатываются персональные данные, которые следует защищать в соответствии с Федеральным законом № 152‑ФЗ и приказом ФСТЭК № 58. А с другой стороны, информационная система относится к КСИИ, что обязывает ее владельца обеспечить информационную безопасность такой системы в соответствии с комплектом документов ФСТЭК по КСИИ.
Наша компания предлагает комплекс услуг по защите информации в КСИИ соответствия требованиям регулирующих органов, включающий в себя следующие этапы:
-    Оценка обстановки, в том числе определение принадлежности КСИИ к одному из установленных уровней важности, определение перечня ключевой информации в КСИИ и оценка последствий нарушений ее безопасности, анализ и выявление актуальных угроз безопасности информации, оценку принятых мер обеспечения безопасности информации, подготовку и принятие решения о необходимости дополнительных мер.
-    Формирование (обоснование) требований по обеспечению безопасности информации в КСИИ.
-    Разработка замысла (концепции) обеспечения безопасности информации в КСИИ.
-    Выбор целесообразного состава мер и средств обеспечения безопасности информации в КСИИ в соответствии с задачами и замыслом (концепцией).