 |
Методические рекомендации. ПО определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры
|
|
|
|
Стр 1 из 9Следующая ⇒
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОПРЕДЕЛЕНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ И КАТЕГОРИЙ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Содержание
Перечень сокращений. 3
Перечень терминов. 4
1 Общие положения.. 9
2 Нормативные ссылки.. 10
3 Основные мероприятия по определению оснований для отнесения ИСиР ОИВ/организации к объектам критической информационной инфраструктуры... 11
3. 1. Определение сфер деятельности организации. 11
3. 2. Определение деятельности в организации по обеспечению взаимодействия объектов КИИ.. 12
4. Мероприятия по инвентаризации и категорированию объектов КИИ.. 15
4. 1. Инвентаризация объектов КИИ.. 15
4. 1. 2 Формирование перечня процессов. 16
4. 1. 3 Определение критичности процессов. 18
4. 1. 4 Формирование перечня объектов. 18
4. 2. Категорирование объектов КИИ.. 20
4. 2. 1 Анализ возможных действий нарушителей. 20
4. 2. 2 Анализ угроз безопасности информации и типов компьютерных атак. 20
4. 2. 3 Оценка масштаба последствий и соотнесение со значениями показателей категорий. 20
4. 2. 4 Определение категории значимости объекта КИИ.. 23
4. 2. 6 Оформление акта категорирования объекта КИИ.. 23
5. Рекомендуемая литература.. 24
Перечень сокращений
В настоящем документе используются сокращения, приведенные в таблице 1.
Таблица 1 − Перечень сокращений
| Сокращение | Обозначение |
| АСУ | Автоматизированная система управления |
| ИС | Информационная система |
| ИСиР | Информационные системы и ресурсы |
| ИТКС | Информационно-телекоммуникационная сеть |
| КИИ | Критическая информационная инфраструктура |
| ЛВС | Локальная вычислительная сеть |
| ОКВЭД | Общероссийский классификатор видов экономической деятельности |
| ОКОГУ | Общероссийский классификатор органов государственной власти и управления |
| РФ | Российская Федерация |
| ФСБ России | Федеральная служба безопасности Российской Федерации |
| ФСТЭК России | Федеральная служба по техническому и экспортному контролю |
| ЦОД | Центр обработки данных |
|
|
|
Перечень терминов
В настоящем документе используются термины, приведенные в таблице 2.
Таблица 2 − Перечень терминов
| Термин | Определение | Источник |
| Автоматизированная система управления | Комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Безопасность информации | Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность | ГОСТ Р 50922-2006 Защита информации. Основные термины и определения |
| Безопасность критической информационной инфраструктуры | Состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Вредоносное программное обеспечение | компьютерная программа, предназначенная для нанесения вреда (ущерба) владельцу (пользователю) компьютерной информации, хранящейся на средстве вычислительной техники, путем ее несанкционированного копирования, уничтожения, модификации, блокирования или нейтрализации используемых на средств защиты, или для получения доступа к вычислительным ресурсам самого средства вычислительной техники с целью их несанкционированного использования | Стандарт СТО. ФСБ. КК 1-2018 «Компьютерная экспертиза. Термины и определения» |
| Государственные информационные системы | Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Доступ к информации | Возможность получения информации и ее использования | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Доступность информации (ресурсов информационной системы) | Состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно | Р 50. 1. 056-2005 Техническая защита информации. Основные термины и определения |
| Значимый объект критической информационной инфраструктуры | Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Информационная система | Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Информационно-телекоммуникационная сеть | Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Инцидент информационной безопасности | Одно или несколько нежелательных или не ожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для информационной безопасности | ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология |
| Компьютерная атака | Целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Компьютерный инцидент | Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Конфиденциальность информации | обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Критическая информационная инфраструктура | Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Нарушитель безопасности информации | Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации | ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения |
| Несанкционированный доступ к информации | Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание: Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем. | Руководящий документ Защита от несанкционированного доступа к информации Термины и определения Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г. |
| Обладатель информации | Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Объект критической информационной инфраструктуры | Информационная система, информационно-телекоммуникационная сеть, автоматизированная система управления субъекта критической информационной инфраструктуры | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Оператор информационной системы | Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Распространение информации | Действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц | Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
| Субъекты критической информационной инфраструктуры | Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей | Федеральный закон от 26. 07. 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» |
| Угроза безопасности информации | Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации | ГОСТ Р 50922-2006 Защита информации. Основные термины и определения |
| Целостность информации | Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право | Р 50. 1. 056-2005 Техническая защита информации. Основные термины и определения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Воспользуйтесь поиском по сайту:
©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...