Общедоступные программные (программно-аппаратные) средства
Отсутствие знаний о структуре ОКИИ, системе безопасности ОКИИ. Не обладает специальными знаниями по реализации угроз безопасности.
– Нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
– дискредитация или дестабилизация деятельности органов государственной власти, субъектов КИИ;
– идеологические или политические мотивы;
– конкурентная борьба;
– материальная (имущественная);
– любопытство;
– месть;
– хулиганство.
Внешний
Средний
Общедоступные программные (программно-аппаратные) средства, специализированные программные (программно-аппаратные) средства
Знание о структуре ОКИИ, системе безопасности ОКИИ. Обладает специальными знаниями по реализации угроз безопасности.
Внешний
Высокий
Общедоступные программные (программно-аппаратные) средства, специализированные программные (программно-аппаратные) средства, средства изготовленные на заказ
Знание чувствительной информации об ОКИИ (проектная, конструкторская и эксплуатационная документация, способах и средствах по обеспечению безопасности). Обладает специальными знаниями по реализации угроз безопасности, по выявлению и эксплуатации новых уязвимостей
Внутренний
Низкий
Общедоступные программные (программно-аппаратные) средства
Слабая осведомленность о мерах защиты о мерах защиты
Внутренний
Средний
Общедоступные программные (программно-аппаратные) средства, специализированные программные (программно-аппаратные) средства
Знание о структуре ОКИИ, системе безопасности ОКИИ. Обладает специальными знаниями по реализации угроз безопасности.
Внутренний
Высокий
Общедоступные программные (программно-аппаратные) средства, специализированные программные (программно-аппаратные) средства, средства изготовленные на заказ
Знание чувствительной информации об ОКИИ (проектная, конструкторская и эксплуатационная документация, способах и средствах по обеспечению безопасности). Обладает специальными знаниями по реализации угроз безопасности, по выявлению и эксплуатации новых уязвимостей
Приложение 5
к Методическим рекомендациям
Угрозы информационной безопасности и сценарии компьютерных атак
Угрозы безопасности информации и типы компьютерных инцидентов
Актив организации
Тип компьютерного инцидента
Угрозы безопасности информации
Защищаемая информация, обрабатываемая в ИСиР (государственный информационный ресурс, персональные данные и т. д. ).
Компоненты ИСиР.
Конфигурация ИСиР.
Настройки технологического процесса.
Управляющие команды АСУ
Несанкционированный доступ к данным в ИСиР.
Утечка данных (нарушение конфиденциальности).
Модификация (подмена) данных.
Отказ в обслуживании.
Нарушение функционирования технических средств. Несанкционированное использование вычислительных ресурсов ИСиР.
Угрозы создания нештатных режимов работы.
Угрозы доступа в операционную среду.
Угрозы непосредственного доступа.
Сетевые атаки.
Угрозы программно-аппаратного воздействия.
Приложение 6
к Методическим рекомендациям
Форма результатов категорирования информационных систем и ресурсов
Результаты категорирования ИСиР
№
Наименование ИСиР
Рекомендуемая категория
Сведения об ИСиР
I
III
Наименование
Без категории
Приложение 7
Приложение 7
к Методическим рекомендациям
Форма сведений об объекте информационных систем и ресурсов
Сведения об объекте ИСиР
№
Параметр
Информация (пояснения по заполнению)
Сведения об ИСиР
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)
Указывается наименование ИСиР. Может использоваться произвольное наименование, основные критерии:
- оно должно быть уникальным в рамках Организации и однозначно идентифицировать систему;
- данное название должно использоваться во всех документах, касающихся данной системы
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта
В случае, если ИСиР является распределённым, указываются адреса подразделений (обособленных подразделений, филиалов, представительств) ОИВ/организации, в которых размещаются сегменты объекта КИИ (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства).
Достаточная точность указания — уровень здания. В случае, если объект КИИ — ИТС, указывается место расположения сетевого оборудования (активного и пассивного)
Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Указывается в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации»:
сфера здравоохранения, науки, транспорта, связи, энергетики, банковская сфера или сфера финансового рынка, топливно-энергетический комплекс, область атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности В случае, если объект функционирует в нескольких сферах – указываются все соответствующие сферы
Назначение объекта
Указывается задача / цель функционирования объекта, например: управление работой гидроагрегата, ведение единого учета граждан, записывающихся на прием к врачу в медицинских учреждениях г. Москвы, управление и контроль работы нефтеперерабатывающей установки; единый центр управления технологическими процессами обогатительного завода и т. д.
Тип объекта (информационная система, автоматизированная система управления[VG4], информационно-телекоммуникационная сеть)
Указываются тип ИСиР, должен совпадать с типом, указанным в п. 1 при наименовании объекта
Архитектура объекта (одноранговая сеть, клиент-серверная система, технология " тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)
Выбирается тип архитектуры из указанных вариантов или приводится уточнение их вариаций: одноранговая сеть, клиент-серверная система, «тонкий клиент», сеть передачи данных, SCADA-система, распределенная система управления или иная архитектура
Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество
Указываются наименования программно-аппаратных средств и их количество:
- пользовательские компьютеры,
- серверы,
- телекоммуникационное оборудование,
- средства беспроводного доступа,
- технологическое, производственное оборудование (исполнительные устройства)
- иные программно-аппаратные средства
Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)
Указываются наименования клиентских, серверных операционных систем, средств виртуализации (при наличии)
Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем)
Указываются наименования прикладных программ
Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи
Указывается категория сети электросвязи: сеть связи общего пользования, выделенная сеть связи, технологическая сеть связи, присоединенная к сети связи общего пользования, сеть связи специального назначения или другая сеть связи для передачи информации при помощи электромагнитных систем.
В случае, если ИСиР не взаимодействует с сетями электросвязи, указываются сведения об отсутствии такого взаимодействия. ЛВС Организации также должна указываться, если она не входит в состав объекта КИИ и с ней осуществляется какое-либо взаимодействие
Наименование оператора связи и (или) провайдера хостинга
Указывается наименование соответственного юридического лица (нескольких лиц, если сетей электросвязи несколько).
В случае, если ИСиР не взаимодействует с сетями электросвязи, указываются сведения об отсутствии такого взаимодействия
Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель)
Указывается цель взаимодействия с сетью электросвязи из приведенных вариантов или свой вариант.
В случае, если ИСиР не взаимодействует с сетями электросвязи, указываются сведения об отсутствии такого взаимодействия
Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия
Указывается соответствующая информация о взаимодействии с сетями электросвязи.
В случае, если ИСиР не взаимодействует с сетями электросвязи, указываются сведения об отсутствии такого взаимодействия
Сведения об угрозах безопасности информации ИСиР
Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации ИСиР
Указываются сведения о потенциальных нарушителях. В случае отсутствия потенциальных нарушителей приводится обоснование (например: физически изолированная система, доступ только у доверенных лиц-администраторов, съемные носители не используются)
Основные угрозы безопасности информации или обоснование их неактуальности ИСиР
Указываются основные угрозы безопасности информации.
В случае отсутствия актуальных угроз безопасности информации приводится обоснование их неактуальности. Актуально при отсутствии потенциальных нарушителей
Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов
Указывается общий перечень типов компьютерных инцидентов.
В случае отсутствия, приводится обоснование их неактуальности (возможно при отсутствии потенциальных нарушителей)
Сведения об реализованных мерах по обеспечению безопасности ИСиР
Реализованные организационные меры защиты
Указываются реализованные организационные меры защиты.
Для упрощения последующих работ лучше сразу указывать в виде мер из Приложения к Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. № 239
Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки) или сведения об отсутствии средств защиты информации.
Указываются сведения о соответствующих средствах защиты информации, используемых для обеспечения ИБ рассматриваемой ИСиР (наименования средств защиты информации, реквизиты сертификатов соответствия, если есть). Дополнительно рекомендуется указывать средства защиты, используемые на периметре ЛВС ОИВ/организации, которые используются для защиты инфраструктуры в целом от внешних нарушителей – с соответствующим уточнением, что для защиты от внешних нарушителей.
Для средств защиты информации, встроенных в программное обеспечение, указываются функции безопасности этого программного обеспечения (идентификация, аутентификация, управление доступом, регистрация событий безопасности, иные функции).
Для упрощения последующих работ лучше сразу уточнять какую из мер Приложения к Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденным приказом ФСТЭК России от 25 декабря 2017г. № 239 реализуют указываемые средства защиты, например:
- АВЗ. 1, АВЗ. 2 — средство антивирусной защиты **** Endpoint Security 10, сертификат ИТ. САВЗ. Б2. ПЗ № ***5;
- СОВ. 1, СОВ. 2 — **** Security Gateway версии R77. 10, сертификат ИТ. СОВ. С4. ПЗ № ****4;
- ОДТ. 4 — резервное копирование защищаемой информации на отказоустойчивой СХД *****.
В случае неприменения средств защиты информации приводятся сведения об отсутствии средств защиты информации
Сведения о рекомендуемой к присвоению ИСиР категории значимости
Категория значимости рекомендуемая
Указываются категория значимости либо информация о неприсвоении объекту ни одной из таких категорий
Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту
Указываются полученные значения по каждому из показателей критериев значимости и обоснование полученных результатов. Также приводятся значения показателей в случае, если получены значения ниже нижних показателей. В случае, если показатель не применим к объекту, делается отметка о его неприменимости с соответствующим обоснованием.
Пример:
1. Причинение ущерба жизни и здоровью людей — более 50, но менее или равно 500 (II категория);
2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения — нарушение функционирования объекта не оказывает влияние на нарушение объектов обеспечения жизнедеятельности населения — категория не присвоена; б) по количеству людей, условия жизнедеятельности которых могут быть нарушены — нарушение функционирования объекта не оказывает влияние на нарушение объектов обеспечения жизнедеятельности населения — категория не присвоена
Сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ (ФСТЭК России)
Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта) и Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов
Указывается соответствующий перечень необходимых мер, соответствующих рекомендуемой категории значимости, из Приложения к Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. № 239.
Пример: ‒ ИАФ. 0 Разработка политики идентификации и аутентификации; ‒ ИАФ. 1 Идентификация и аутентификация пользователей и инициируемых ими процессов; ‒ ИАФ. 2 Идентификация и аутентификация устройств; ‒ и т. д.
В случае, если объекту КИИ не присвоена категория значимости, делается соответствующее указание
«Объект КИИ не является значимым – обязательных мер не установлено»