Приведение в соответствие требованиям по защите

КИИ (Критической Информационной Инфраструктуры)

187-ФЗ о защите критической информационной инфраструктуры описывает отрасли и критерии систем, при соответствии которым система признается КИИ. Защита КИИ регламентируется несколькими различными нормативными документами, в зависимости от типа и категории системы.

КАК СТРОИТСЯ ПРОЕКТ

Для проектирования соответствующей системы защиты информации в КИИ необходимо:

1

Выявить перечень критических объектов и процессов, определить
применимость требований и их перечень;

2

Смоделировать актуальные угрозы безопасности для этих объектов и процессов;

3

Провести категорирование этих объектов и процессов;

4

Разработать проект подсистемы защиты информации на основе
соответствующих нормативных документов.

Важно знать

Перечень средств защиты, необходимых в большинстве случаев:
Межсетевой экран, СОВ (IPS\IDS), антивирус, СЗИ от НСД, настроенная аутентификация, настроенные бэкапы, средство сбора логов. Если используется виртуализация – необходимо средство защиты виртуализации.

Необходимые меры защиты подобны мерам защиты ГИС.

Также, для КИИ актуально осуществить подключение к центру ГосСопка.

После приведения в соответствие вам может понадобиться

Аттестация

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-30 раб. дней

    Обследование объектов КИИ

    Определяем объекты КИИ и процессы в рамках выполнения функций или осуществления видов деятельности субъекта КИИ.

  • Этап 2

    20-25 раб. дней

    Разработка модели угроз и нарушителей

    Разрабатываем Модель угроз и нарушителей безопасности информации, исходя из релевантных для данного типа системы перечня угроз и требований руководящих документов.

  • Этап 3

    25-30 раб. дней

    Категорирование

    Проводим категорирование объектов КИИ в соответствии с требованиями постановления Правительства РФ №127-ПП.

  • Этап 4

    25-40 раб. дней

    Техническое проектирование

    При необходимости – разрабатываем эскизный или технический проект на создание системы защиты информации, отвечающий требованиям применимых нормативных документов.