7.67M
Category: lawlaw
Similar presentations:
Безопасность критической информационной инфраструктуры Российской Федерации
Безопасность критической информационной инфраструктуры Российской Федерации
Принципы обеспечения безопасности объектов критической информационной инфраструктуры
Принципы обеспечения безопасности объектов критической информационной инфраструктуры
Нормативные правовые акты Правительства Российской Федерации
Нормативные правовые акты Правительства Российской Федерации
Категорирование объектов КИИ
Категорирование объектов КИИ
Категорирование объектов транспортной инфраструктуры. Лекция 4
Категорирование объектов транспортной инфраструктуры. Лекция 4
Информационная безопасность Российской Федерации
Информационная безопасность Российской Федерации
Цели и задачи защиты конфиденциальной информации. Защищаемая информация и информационные ресурсы. Объекты защиты
Цели и задачи защиты конфиденциальной информации. Защищаемая информация и информационные ресурсы. Объекты защиты
Доктрина информационной безопасности Российской Федерации
Доктрина информационной безопасности Российской Федерации
Курс лекций для специалистов по информационной безопасности
Курс лекций для специалистов по информационной безопасности
Особенности УИБ на производстве
Особенности УИБ на производстве

Порядок категорирования объектов критической информационной инфраструктуры Российской Федерации

1.

2.

2
Порядок категорирования объектов критической
информационной инфраструктуры Российской Федерации

3.

Система нормативных правовых актов в области
обеспечения безопасности КИИ Российской Федерации
Федеральный закон от 26 июля 2017 г. № 187-ФЗ
тической информационной инфраструктуры Российской Федерации»
Указ Президента РФ от 17 мая 2021 г. № 281
«О внесении изменений в Положение о Федеральной службе
по техническому и экспортному контролю,
утвержденное Указом Президента РФ
от 16 августа 2004 г. № 1085»
Указ Президента РФ от 22 декабря 2017 г. № 620
«О совершенствовании государственной системы
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ»
Указ Президента РФ от 18 января 2021 г. № 29
«О внесении изменения в перечень сведений, отнесенных
к государственной тайне,
утвержденный Указом Президента РФ
от 30 ноября 1995 г. № 1203»
Нормативные правовые акты Правительства Российской Федерации
Постановление Правительства РФ
«Об утверждении Правил категорирования объектов критической
информационной инфраструктуры РФ, а также перечня показателей критериев
значимости объектов КИИ РФ и их значений»
от 8 февраля 2018 г. № 127
Постановление Правительства РФ
«Об утверждении Правил осуществления
государственного контроля в области обеспечения
безопасности значимых объектов КИИ РФ»
от 17 февраля 2018 г. № 162
Постановление Правительства РФ
«Об утверждении Правил подготовки и использования ресурсов
единой сети электросвязи РФ для обеспечения
функционирования значимых объектов КИИ РФ»
от 8 июня 2019 г. № 743
Нормативные правовые акты федеральных органов исполнительной власти
Приказ ФСТЭК России
«Об утверждении Требований
к созданию систем безопасности
значимых объектов КИИ РФ
и обеспечению их
функционирования»
от 21 декабря 2017 г. № 235
Приказ ФСТЭК России
«Об утверждении формы направления
сведений о результатах присвоения
объекту КИИ одной из категорий значимости
либо об отсутствии необходимости присвоения
ему одной из таких категорий»
от 22 декабря 2017 г. № 236
Приказ ФСБ России
«Об утверждении Положения
о Национальном координационном центре
по компьютерным инцидентам»
Приказ ФСБ России
«Об утверждении перечня информации,
представляемой в ГосСОПКА
и порядка ее представления»
Приказ ФСБ России
«Об утверждении порядка об обмене информации
о компьютерных инцидентах между субъектами КИИ»
Разработаны:
Приказ ФСТЭК России
«Об утверждении Требований по
обеспечению безопасности
значимых объектов КИИ РФ»
от 25 декабря 2017 г. № 239
с изменениями
от 20 февраля 2020 г. № 35
Приказ ФСТЭК России
«Об утверждении
порядка ведения реестра
значимых объектов КИИ РФ»
от 6 декабря 2017 г. № 227
Приказ ФСБ России
«Об утверждении порядка информирования
ФСБ России о компьютерных инцидентах
и реагирования на них...»
Приказ Минцифры России
«Об утверждении Порядка и Технических условий установки
и эксплуатации средств, предназначенных для поиска
признаков компьютерных атак в сетях электросвязи...»
- ФСТЭК России
- ФСБ России
Приказ ФСТЭК России
«Об утверждении Порядка согласования
субъектом КИИ РФ с ФСТЭК России
подключения значимого объекта КИИ
РФ к сети связи общего пользования»
от 28 мая 2020 г. № 75
Приказ ФСБ России
«Об утверждении порядка, технических условий,
установки и эксплуатации средств, предназначенных
для обнаружения, предупреждения и ликвидации
последствий компьютерных атак...»
Приказ ФСБ России
«Об утверждении требований к средствам обнаружения,
предупреждения и ликвидации компьютерных атак»
- Минцифры России
32

4.

Нормативные правовые акты в области обеспечения безопасности КИИ,
разработанные ФСТЭК России
Постановление Правительства РФ
от 8 февраля 2018 г.
№ 127
«Об утверждении Правил категорирования
объектов критической информационной
инфраструктуры Российской Федерации,
а также перечня показателей критериев
значимости объектов КИИ РФ
и их значений»
Приказ ФСТЭК России
от 6 декабря 2017 г.
№ 227
«Об утверждении порядка
ведения реестра значимых
объектов КИИ РФ»
Приказ ФСТЭК России
от 11 декабря 2017 г.
№ 229
«Об утверждении формы акта
проверки, составляемого
по итогам проведения
гос. контроля в области
обеспечения безопасности
значимых объектов КИИ РФ»
Постановление Правительства РФ
от 17 февраля 2018 г.
№ 162
«Об утверждении Правил осуществления
государственного контроля в области
обеспечения безопасности значимых
объектов КИИ РФ»
Приказ ФСТЭК России
от 21 декабря 2017 г.
№ 235
«Об утверждении
Требований к созданию
систем безопасности
значимых объектов КИИ РФ
и обеспечению их
функционирования»
Приказ ФСТЭК России
от 22 декабря 2017 г.
№ 236
«Об утверждении формы
направления сведений
о результатах присвоения
объекту КИИ одной
из категорий значимости …»
Приказ ФСТЭК России
от 25 декабря 2017 г.
№ 239
«Об утверждении
Требований
по обеспечению
безопасности
значимых объектов
КИИ РФ»
Приказ ФСТЭК России
от 28 февраля 2017 г.
№ 31дсп
«Об утверждении Требований
к обеспечению защиты
информации, содержащейся
в ИС управления производством,
используемых организациями
ОПК»
- внесены изменения
- планируется внесение изменений в 2022 году
- вновь издан
Приказ ФСТЭК России
от 14 марта 2014 г.
№ 31
«Об утверждении
Требований
к обеспечению ЗИ в АСУ
производственными
и технологическими
процессами на КВО …»
Приказ ФСТЭК России
от 28 мая 2020 г.
№ 75
«Об утверждении Порядка
согласования субъектом КИИ РФ
с ФСТЭК России подключения
значимого объекта КИИ РФ
к сети связи общего пользования»
4

5.

Изменения в Кодекс РФ об административных правонарушениях
Статья 13.12.1.
Нарушение требований
в области обеспечения
безопасности критической
информационной инфраструктуры
Российской Федерации
Статья 19.7.15.
Непредставление сведений,
предусмотренных
законодательством
в области обеспечения
безопасности критической
информационной инфраструктуры
Российской Федерации
Нарушение требований к созданию систем
безопасности ЗО КИИ РФ и обеспечению
их функционирования либо требований по ОБ ЗО
КИИ РФ, установленных федеральными законами
и принятыми в соответствии с ними иными
НПА РФ, если такие действия (бездействие)
не содержат признаки уголовно наказуемого
деяния, влечет наложение административного штрафа
на должностных лиц
в размере от 10 тыс. до 50 тыс. руб.;
на юридических лиц – от 50 тыс. до 100 тыс. руб.
Предусмотрены штрафы за непредставление
или нарушение сроков представления сведений
о результатах присвоения объекту КИИ РФ
категории
значимости
либо
об
отсутствии
необходимости присвоения ему такой категории, влечет наложение административного штрафа
на должностных лиц
в размере от 10 тыс. до 50 тыс. руб.;
на юридических лиц – от 50 тыс. до 100 тыс. руб.
Полномочиями по рассмотрению дел об административных
правонарушениях, предусмотренных частью 1 статьи 13.12.1
и частью 1 статьи 19.7.15 КоАП возложены на ФСТЭК России
5

6.

Методические документы ФСТЭК России по категорированию объектов КИИ
Информационное сообщение от 16 февраля 2021 г. № 240/84/18
6

7.

Координационная рабочая группа по обеспечению безопасности значимых
объектов критической информационной инфраструктуры
в Южном и Северо-Кавказском федеральных округах*
ЦЕЛИ:
1. создание систем безопасности значимых объектов КИИ;
2. обеспечения устойчивого функционирования
значимых объектов КИИ;
3. выработка концептуального подхода по обеспечению
безопасности значимых объектов КИИ;
4. разъяснения и доведения вновь изданных документов
и решения проблемных вопросов с участием представителей
субъектов КИИ, которым принадлежат значимые объекты КИИ,
расположенные на территориях Южного и Северо-Кавказского
федеральных округов.
ЗАДАЧИ:
1. предотвращение неправомерного доступа к информации,
обрабатываемой значимым объектом КИИ;
2. недопущение воздействия на технические средства
обработки информации;
3. восстановление функционирования значимого объекта КИИ;
4. непрерывное взаимодействие с государственной
системой обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные
ресурсы Российской Федерации.
*Заседания проводятся на плановой основе не реже 1 раза в квартал
7

8.

Требования по обеспечению безопасности ЗО КИИ РФ,
утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
(с изменениями, внесенными приказом ФСТЭК России от 28 мая 2020 г. № 35)
I. Общие положения
II. Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода
из эксплуатации значимых объектов
III. Требования к организационным и техническим мерам, принимаемым для
обеспечения безопасности значимых объектов
IV. Требования к программным и программно-аппаратным средствам, применяемым
для обеспечения безопасности
значимых объектов
Приложение
Состав мер по обеспечению безопасности для значимого объекта соответствующей
категории значимости
Разработаны во исполнение поручений Президента
и Правительства Российской Федерации
Прошли общественное обсуждение
При разработке учтено мнение экспертов
крупнейших субъектов КИИ
Приказ зарегистрирован Минюстом России
11 сентября 2020 г. № 59793
Согласованы с Минцифрой России
8

9.

Изменения в Требования по обеспечению безопасности ЗОКИИ РФ,
утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
1. Определены признаки модернизации ЗО КИИ
2. Определены требования по безопасности к программным и программноаппаратным средствам, применяемым для обеспечения безопасности ЗО КИИ
3. Смягчены требования по удаленному взаимодействию ЗО КИИ
4. Введены условия допущения удаленного доступа к компонентам объектов КИИ и
определены меры по обеспечению безопасности такого доступа
прикладному ПО, обеспечивающему выполнение функций ЗО КИИ по назначению
Проверка САМОСТОЯТЕЛЬНО, лицензиатом или интегратором на этапе проектирования
Введены новые требования к СЗИ (6 УД)
С 1 января 2023 г. Проверка на этапе предварительных испытаний САМОСТОЯТЕЛЬНО или лицензиатом
9

10.

Изменения в Требования по обеспечению безопасности ЗОКИИ РФ,
утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
Новые требования к специальному прикладному ПО
Требования
по безопасной разработке
Требования к поддержке безопасности
для значимых объектов 1 категории
Наличие описания структуры
ПО на уровне подсистем и
результатов сопоставления
функций ПО и интерфейсов,
описанных в функциональной
спецификации,
с его подсистемами
Наличие процедур
информирования
субъекта КИИ
об окончании
производства
и (или) поддержки ПО
Проведение
динамического анализа
кода программы
10

11.

Изменения в Требования по обеспечению безопасности ЗОКИИ РФ,
утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
Новые требования к контролю удаленного доступа
В значимом объекте не допускается
наличие
удаленного доступа
к программным и программноаппаратным средствам, в том числе СЗИ,
для обновления или управления со стороны
лиц,
не являющихся работниками субъекта
КИИ
наличие
локального бесконтактного доступа к
программным и программно-аппаратным
средствам, в том числе СЗИ, для
обновления или управления со стороны
лиц, не являющихся работниками субъекта
КИИ
а также работниками его дочерних и зависимых обществ
В случае технической невозможности исключения удаленного доступа
к программным и программно-аппаратным средствам, в том числе СЗИ,
в ЗО КИИ принимаются компенсирующие меры
11

12.

Изменения в Требования по обеспечению безопасности ЗОКИИ РФ,
утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
Требования к входящим в состав значимого объекта программным
и программно-аппаратным средствам
Входящие в состав значимого объекта 1 и 2 категории значимости программные
и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны
размещаться на территории Российской Федерации
За исключением случаев,
когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта КИИ (филиалах,
представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами
Российской Федерации
12

13.

Порядок согласования подключения значимого объекта КИИ
к сети связи общего пользования
Разработан во исполнение постановления Правительства РФ «Об утверждении Правил подготовки и использования ресурсов единой сети
электросвязи РФ для обеспечения функционирования значимых объектов КИИ РФ» от 8 июня 2019 г. № 743
Согласование подключения
До ввода значимого
объекта КИИ в действие
До заключения договора
с оператором связи
В случае если значимый объект
на момент его включения в реестр
значимых объектов КИИ РФ
подключен к сети связи общего
пользования согласование
ФСТЭК России не требуется
13

14.

Порядок согласования подключения ЗО КИИ к сетям связи общего пользования
(продолжение)
14
Основания для отказа в согласовании
подключения значимого объекта к ССОП
Представление в ФСТЭК России сведений,
указанных в Порядке
Представление неполных сведе
Приложение к сведениям
необходимых документов
Направление сведений
с сопроводительным письмом
в ФСТЭК России
Несоответствие СЗИ деклари
Несоответствие СЗИ Требовани
и Требованиям по созданию си
и обеспечению их функци
В случае, если сведений
недостаточно
ФСТЭК России оценивает достаточность
применяемых средств в соответствии
с Требованиями приказов № 235 и № 239
20 дней
Принимается решение о согласовании либо
об отказе в согласовании подключения
ЗО КИИ к ССОП
ФСТЭК России запрашивает
дополнительные сведения

15.

Рекомендации по обеспечению безопасности объектов КИИ
при реализации дистанционного режима исполнения должностных обязанностей
15

16.

Анализ
работ, проводимые субъектами КИИ по категорированию объектов КИИ
в сфере здравоохранения Республики Адыгея
Субъекты КИИ
Нет
объектов КИИ
Представили
перечни
объектов КИИ
Без
категории
значимости
Субъекты
включенные
в Реестр
32
1
0
4
1
16

17.

Первоочередные меры по обеспечению безопасности
критической информационной инфраструктуры
Федеральный закон
от 26 июля 2017 г.
№ 187
«О безопасности
критической
информационной
инфраструктуры
Российской Федерации»
Постановление
Правительства
Российской Федерации
от 8 февраля 2018 г.
№ 127
Категорирование
объектов КИИ
Приказ ФСТЭК России
от 21 декабря 2017 г.
№ 235
Создание систем
безопасности
значимых объектов
Приказ ФСТЭК России
от 22 декабря 2017 г.
№ 236
Приказ ФСТЭК России
от 25 декабря 2017 г.
№ 239
Реализация
требований
по обеспечению
безопасности
значимых
объектов КИИ
Приказ ФСТЭК России
от 6 декабря 2017 г.
№ 227
Обеспечение
взаимодействия
с ГосСОПКА
17

18.

Алгоритм действий по реализации Федерального закона 187-ФЗ
Приказ ФСТЭК России
от 21 декабря 2017 г. № 235
Приказ ФСТЭК России
от 25 декабря 2017 г. № 239
Приказ ФСТЭК России
от 26 марта 2019 г. № 60
18

19.

19
Порядок категорирования объектов КИИ
Формирование комиссии по
категорированию
Подготовка перечня объектов
КИИ, подлежащих
категорированию
не более
1 года
10 рабочих дней
Категорирование объектов КИИ
Управление
ФСТЭК России
по ЮиСКФО
Исходные данные
для
категорирования
Формирование Акта
категорирования объекта КИИ
10 рабочих дней
Направление сведений
о результатах категорирования
в Управление ФСТЭК России
по ЮиСКФО

20.

20
Постановление Правительства Российской Федерации
от 8 февраля 2018 г. № 127
Правила категорирования
объектов критической информационной
инфраструктуры Российской Федерации
Перечень показателей критериев значимости
объектов критической информационной
инфраструктуры Российской Федерации

21.

Формирование постоянно действующей комиссии по категорированию
руководитель субъекта КИИ или уполномоченное им лицо
работники субъекта КИИ, являющиеся специалистами
в области выполняемых функций, осуществляемых видов
деятельности, в области ИТ, по эксплуатации
технологического оборудования
работники субъекта КИИ, на которых возложены
функции обеспечения безопасности объектов КИИ
работники подразделения по защите государственной
тайны субъекта КИИ
работники структурного подразделения по ГО и ЧС или
работники, уполномоченные на решение задач в этой
области
В состав могут включаться представители гос. органов и российских юридических лиц, выполняющих функции по разработке, проведению
или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности,
по согласованию с ними (не ФСТЭК России)
21

22.

22
Рекомендуемая форма перечня объектов КИИ, подлежащих категорированию
Информационное сообщение
от 17 апреля 2020 г. № 240/84/611
Направляется в
Управление ФСТЭК России
по ЮиСКФО
Срок: 10 дней
Обязательное согласование
только для организаций,
подведомственных
(п. 15 Порядка категорирования)
Рекомендация: указывать
планируемые сроки
категорирования объектов КИИ
Рекомендация: прилагать
электронный вид Перечня

23.

23
Ошибки при подготовке перечней объектов КИИ,
подлежащих категорированию
Неправильное (не полное) наименование объекта
В перечне учтены не все типы объектов (АСУ, ИС, ИТКС),
учтены не все критические процессы
В перечне не учтены объекты,
принадлежащие на иных законных основаниях
Представление перечней в ФСТЭК России
на согласование или на утверждение

24.

Акт категорирования объектов критической информационной инфраструктуры
Российской Федерации
должен содержать сведения
об объекте КИИ (п. 16 Правил)
Акт категорирования
Акт
объекта КИИ
категорирования
объекта КИИ
подписывается членами комиссии
и утверждается руководителем
субъекта КИИ
Субъект КИИ обеспечивает
хранение акта категорирования
Допускается оформление единого
акта по результатам
категорирования нескольких
объектов КИИ
Форма Акта категорирования
определяется субъектом КИИ
Акт категорирования
НЕ ПРЕДСТАВЛЯЕТСЯ
в Управление ФСТЭК России
по ЮиСКФО
24

25.

Представление сведений
о результатах присвоения объекту критической информационной
инфраструктуры одной из категорий значимости либо об отсутствии
необходимости присвоения ему одной из таких категорий
Представление сведений по утвержденной форме
В соответствии с п. 18 Правил категорирования
объектов
критической
информационной
инфраструктуры Российской Федерации Сведения
направляются в печатном и электронном
виде по форме, утверждённой Приказом
ФСТЭК России от 22 декабря 2017 г. № 236 (в ред.
Приказа ФСТЭК России от 21 марта 2019 г. № 59)
25

26.

Типовые недостатки при подготовке сведений о результатах
Категорирования объекта КИИ
Сведения об отсутствии необходимости присвоения объекту КИИ
категории значимости также представляются в ФСТЭК России
26

27.

Типичные недостатки по результатам анализа сведений о категорировании
«Уполномоченные» лица по ОБ КИИ
фактически не наделены полномочиями
принимать необходимые решения
Непрофильные подразделения безопасности
(IT, юристы, экономисты…)
Нет организационно-распорядительных
документов
Не реализуются меры по информированию
специалистов, эксплуатирующих объекты
Объекты эксплуатируются несколькими организациями,
а их ответственность и функции по ОБ КИИ не определены
АРМ администраторов АСУ не включены
в состав объектов КИИ и (или) не защищены
Объекты являются территориально распределенными,
что вызывает дополнительные сложности в обеспечении
их безопасности, которые не учтены
Применяются средств защиты информации,
не прошедшие оценку соответствия
Не рассматриваются угрозы,
реализуемые внешним нарушителем (через внешние сети)
Необоснованно не рассматривается возможность
реализации компьютерных атак на объекты
27

28.

28
Проверка Управлением ФСТЭК России по ЮиСКФО
результатов категорирования
Направление сведений о результатах
категорирования
в Управление ФСТЭК России по ЮиСКФО
Части 6-8
статьи 7 ФЗ № 187
10 дней
Выявлены
нарушения
порядка
10 дней
Управление ФСТЭК России
по ЮиСКФО
Проверяет соблюдение
порядка и правильности
категорирования
Управление ФСТЭК России по ЮиСКФО
Возвращает в письменном виде субъекту КИИ
Соблюден
порядок
Управление ФСТЭК России по ЮиСКФО
Вносит сведений в реестр значимых объектов КИИ
30 дней
Субъект КИИ
Устраняет отмеченные недостатки
10 дней
Управление ФСТЭК России по ЮиСКФО
Уведомляет субъекта КИИ
10 дней
Пересмотр категории значимости осуществляется
не реже, чем раз в 5 лет

29.

29
Рассмотрение перечней и сведений
Управлением ФСТЭК России по Южному Северо-Кавказскому федеральным округам
3 этапа передачи полномочий:
1 этап: сфера здравоохранения март 2021
Решение
директора
ФСТЭК России
от 11.03.2021
2 этап: сфера ОПК и наука январь 2022
3 этап: сфера ТЭК и энергетика июль 2022
информационное сообщение
ФСТЭК России
исх. от 18.06.2021, № 240/82/1037

30.

Типичные недостатки по результатам анализа сведений о категорировании
Планы конкретных мероприятий
по реализации 187-ФЗ отсутствуют
Объекты эксплуатируются несколькими организациями,
а их ответственность и функции по ОБ КИИ не определены
АРМ администраторов АСУ не включены
в состав объектов КИИ и (или) не защищены
Специалисты по ОБ КИИ отсутствуют, находятся
в подчинении у служб ИТ или перегружены
Организационно-распорядительные документы
в соответствие требованиям 187-ФЗ не приведены
Не все угрозы безопасности информации (УБИ)
определены или нейтрализованы
Объекты являются территориально распределенными,
что вызывает дополнительные сложности в обеспечении
их безопасности, которые не учтены
Применяются средств защиты информации,
не прошедшие оценку соответствия
Не рассматриваются угрозы,
реализуемые внешним нарушителем (через внешние сети)
Необоснованно не рассматривается возможность
реализации компьютерных атак на объекты
30

31.

31

32.

32

33.

33

34.

34
Наиболее распространенные ошибки,
допускаемые при категорировании объектов критической
информационной инфраструктуры Российской Федерации

35.

Проблемные показатели
№ 1 Причинение ущерба жизни и здоровью людей
Социальный
Политический
Экономический
№ 3 Отсутствие доступа к государственной услуге
№ 6 Прекращение или нарушение функционирования
государственного органа
№ 8 Ущерб субъекту КИИ
№ 9 Ущерб бюджетам РФ
35

36.

36
Какие сценарии рассматривать?
Рассматриваются наихудшие сценарии КА:
отказ в обслуживании
модификация (подмена) данных
нарушение функционирования объекта КИИ
несанкционированное использование объекта КИИ

37.

37

38.

По каким показателям категорировать?
Приказ Минздравсоцразвития РФ
от 24.04.2008 № 194н
«Об утверждении Медицинских критериев
определения степени тяжести вреда,
причиненного здоровью человека»
9. Поверхностные повреждения, в том
числе: ссадина, кровоподтек, ушиб мягких
тканей, включающий кровоподтек и
гематому, поверхностная рана и другие
повреждения, не влекущие за собой
кратковременного расстройства здоровья
или незначительной стойкой утраты
общей трудоспособности, расцениваются
как повреждения, не причинившие вред
здоровью человека.
Причинение ущерба жизни
и здоровью людей
Постановление Правительства РФ
от 17 августа 2007 г. № 522
«Об утверждении правил определения
степени тяжести вреда, причиненного
здоровью человека»
Под вредом, причиненным здоровью
человека, понимается нарушение
анатомической целостности и
физиологической функции органов и
тканей человека в результате
воздействия физических, химических,
биологических и психических факторов
внешней среды.
38

39.

39
Ошибки при категорировании объектов КИИ
Занижение значений показателей критериев значимости
- не учитываются различия в масштабах возможных последствий;
- приводится типовое обоснование неприменимости показателей
Представление результатов оценки возможного ущерба
не по всем показателям критериев значимости
- не представляются конкретные значения по каждому из показателей
критериев значимости, предусмотренные подпунктом 8.2 Формы;
- не представляются обоснования, предусмотренные подпунктом 8.3 Формы
Исключение:
объект 1-го
Необходимо
рассматривать
наихудшие сценарии
атак на объекты
учитывать зависимость
функционирования
связанных объектов
уровня значимости
учитывать
замедление выполнения
автоматизируемого
процесса

40.

Нарушения взаимосвязи подпунктов сведений
1.5
Тип объекта
1.1
Наименование объекта
1.4
Назначение объекта
1.2
4.3
Адреса
размещения объекта,
ождения лица, эксплуатирующего
объект
Элемент (компонент) объекта, который эксплуатируется лицом
ленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта
4.2
1.6
Архитектура объекта
5.2, 5.3
системного программного обеспечения и прикладных программ 5.1
Наименования программно-аппаратных средств
40

41.

Нарушения взаимосвязи подпунктов сведений (продолжение)
6.2
6.1
3.1
угрозы
безопасности информации или обоснование их неактуальности
Категория
нарушителя Основные
(внешний или
внутренний)
атегория сети
электросвязи
8.2
Полученные значения
1.3
7.1показателя к объекту
считываемых показателей критериев значимости или информация о неприменимости
ятельности, в которой функционирует объект
Типы компьютерных инцидентов
1.4
Назначение объекта
5.4
Применяемые средства защиты информации
9.2
Технические меры защиты
41
English     Русский Rules