ключевая система
Смотреть что такое «ключевая система» в других словарях:
ключевая система — — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN key system … Справочник технического переводчика
Ключевая точка измерений — место, где ядерные материалы могут быть измерены для определения их потока или наличного количества. Источник: НП 030 01: Основные правила учета и контроля ядерных материалов Ключевая точка измерений место, где ядерные материалы могут быть… … Словарь-справочник терминов нормативно-технической документации
Ключевая (гора) — У этого термина существуют и другие значения, см. Ключевая. гора Ключевая Вулкан Двухъюрточный Координаты: Координаты … Википедия
критически важная система информационной инфраструктуры — ключевая система информационной инфраструктуры КСИИ Информационно управляющая или информационно телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для… … Справочник технического переводчика
критически важная система информационной инфраструктуры — 3.1.15 критически важная система информационной инфраструктуры ; ключевая система информационной инфраструктуры; КСИИ: Информационно управляющая или информационно телекоммуникационная система, которая осуществляет управление или информационное… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р 8.703-2010: Государственная система обеспечения единства измерений. Учет и контроль ядерных материалов. Система измерений. Основные положения — Терминология ГОСТ Р 8.703 2010: Государственная система обеспечения единства измерений. Учет и контроль ядерных материалов. Система измерений. Основные положения оригинал документа: 3.1.1 аккредитация (аналитической лаборатории): Официальное… … Словарь-справочник терминов нормативно-технической документации
ОСТ 95 10571-2002: Система измерений для целей учета и контроля ядерных материалов. Основные положения — Терминология ОСТ 95 10571 2002: Система измерений для целей учета и контроля ядерных материалов. Основные положения: 3.28 Аккредитация официальное признание уполномоченным на то государственным органом технической компетентности аналитических… … Словарь-справочник терминов нормативно-технической документации
Федеральная резервная система США — (Federal Reserve System) Федеральная резервная система США это система банков, выполняющая роль центробанка США Федеральная резервная система США: предпосылки и история создания, закон о Федеральном Резерве, функции, Центробанк США, связи с ЦБ РФ … Энциклопедия инвестора
Бреттон-Вудская система — Отель Маунт Вашингтон, где проходила Бреттон Вудская конференция Бреттон Вудская система, Бреттон Вудское соглашение ( … Википедия
Бреттон-вудская система — Бреттон Вудская система, Бреттон Вудское соглашение (англ. Bretton Woods system) международная система организации денежных отношений и торговых расчетов, установленная в результате Бреттон Вудской конференции (с 1 по 22 июля 1944 г.) Название… … Википедия
Бреттон-Вудская валютно-финансовая система — Бреттон Вудская система, Бреттон Вудское соглашение (англ. Bretton Woods system) международная система организации денежных отношений и торговых расчетов, установленная в результате Бреттон Вудской конференции (с 1 по 22 июля 1944 г.) Название… … Википедия
Ключевые системы: что это и зачем оно нужно
Возможно, именно по этой причине государственные органы нашей страны довольно нехотя встречают уже не очень новые информационные технологии, однако постепенно они всё-таки внедряются. Ярким примером этого «внедрения» может послужить применение видеокамер для наблюдения за ходом голосования во время президентских выборов. Видеопоток, получаемый в процессе голосования, является ценной и конфиденциальной информацией, которая в соответствии с документом, принятым ещё семь лет назад, называется критически важным объектам.
Вообще к такому типу объектов относятся те объекты или технологические процессы, которые оказывают значительное воздействие на национальную безопасность государства, нарушение работы которого неизбежно ведёт к возникновению чрезвычайной ситуации (ЧС) или другим существенным отрицательным следствиям в отношении экономики, политики, обороны страны, международных отношений и любых других важнейших сфер жизни населения. Ключевая система является управляющей или телекоммуникационной системой, которая регулирует деятельность критически важного объекта или процесса, а также управляет информационным обеспечением и контролирует информирование населения. Вследствие деструктивного воздействия информационного характера на ключевую систему может возникнуть ЧС или нарушения функционирования системы управления.
Основным критерием отнесения объекта к типу критически важного является присутствие на нём социально значимого объекта или опасного для экологии производства, нарушения в работе которых вызвали бы масштабные последствия государственного уровня. Определённые регулирующие документы предусматривают список мер, принятие которых приведёт государство к обеспечению защиты ключевой системы.
Что такое KPI и нужно ли его применять в своем бизнесе
Объясняем, как малый бизнес может использовать ключевые показатели эффективности в своей работе: планировать, контролировать прибыль и выходить на новый уровень дохода. Даже если речь идет об ИП без сотрудников
Вячеслав Марков
Руководитель онлайн-привлечения в Тинькофф Бизнесе
KPI — это цифры, которые показывают, насколько хорошо бизнес идет к своим целям. Изначально KPI пришел из продаж, теперь это общий термин в управлении и планировании. Рассказываем, как бизнесу применять KPI на практике.
Статья будет полезна начинающим ИП и собственникам малого бизнеса.
Что такое KPI и для чего он нужен
KPI — с английского Key Performance Indicator — ключевой показатель эффективности бизнеса. Если просто, это любые метрики, к которым стремится бизнес. Например, продать в следующем месяце 500 пар кроссовок, набрать 3000 подписчиков или заработать 2 000 000 ₽ чистой прибыли — все это можно назвать KPI.
KPI должен быть ограничен по времени, отвечать на вопрос, за какой период, в какие сроки. То есть заработать 2 000 000 ₽ чистой прибыли не вообще, а, например, за 6 месяцев.
В обиходе все привыкли, что KPI применяется в крупных корпорациях для мотивации сотрудников и подсчета премий. Но KPI — это любые цифры, которые можно применить как план. KPI может быть и у самозанятого репетитора, и у маленькой кофейни, и у Газпрома.
KPI основан на объективных метриках, цифрах, процентах и долях. Он помогает:
Какие бывают KPI
KPI можно разделить на высокоуровневые и низкоуровневые.
Высокоуровневый KPI. Это главная цель бизнеса. Чаще всего это план, сколько бизнес должен заработать чистой прибыли в год, или ежемесячная выручка, которая нужна, чтобы выйти на точку безубыточности в новом бизнесе.
Эти цифры можно взять на этапе составления финансовой модели бизнеса.
Например, Мария открывает кофейню. Она вложила в это 1 000 000 ₽. Чтобы выйти на точку безубыточности через 5 месяцев, ей нужно зарабатывать 200 000 ₽ чистой прибыли ежемесячно. Значит, KPI, к которому она будет стремиться, — 200 000 ₽ прибыли в месяц.
Высокоуровневый KPI — это показатель стратегического планирования. Чтобы достичь этот KPI, его нужно декомпозировать на несколько низкоуровневых. То есть разбить большую цель на несколько небольших задач.
Какие именно это будут задачи — зависит от специфики бизнеса.
Низкоуровневые KPI. Это те цели, которые должны выполнить разные отделы, подразделения или сотрудники компании, чтобы достичь главную цель бизнеса.
В кофейне Марии пока работает только она сама: отвечает и за привлечение покупателей, и за приготовление кофе. То есть за выполнение своего KPI отвечать будет только она.
Чтобы достичь высокоуровнего KPI по прибыли 200 000 ₽, кофейня должна приносить доход, который позволит получить эту прибыль.
Допустим, что в месяц расходы в кофейне — 100 000 ₽.
Плановый доход = ежемесячные расходы + прибыль.
100 000 ₽ + 200 000 ₽ = 300 000 ₽.
Значит, Марии нужно получать доход 300 000 ₽ в месяц, чтобы получить желаемую прибыль. Это ее KPI по доходу.
Теперь посчитаем, какой KPI должен быть по количеству посетителей в месяц. В среднем по рынку в этом районе средний чек — 500 ₽ с человека.
Количество посетителей в месяц = доход / средний чек.
300 000 ₽ / 500 ₽ с человека = 600 посетителей в месяц.
Это KPI по количеству посетителей в месяц.
Теперь можно разбить его на более мелкий KPI — количество посетителей в день:
600 человек / 30 дней = 20 человек в день.
Теперь у Марии есть высокоуровневый KPI — 200 000 ₽ чистой прибыли в месяц. А чтобы ее достичь, у нее есть более низкоуровневые KPI: количество посетителей в месяц и день: 600 человек со средним чеком 500 ₽ и 20 человек в день соответственно.
В примере выше низкоуровневый KPI ставила и выполняла сама собственница бизнеса. Но там, где есть сотрудники и отделы, выполнение таких KPI — задача сотрудников и нижестоящих отделов.
Когда Мария наймет управляющего в кофейню, следить за потоком клиентов и отвечать за их привлечение будет уже управляющий.
Когда ясны KPI, собственник может передать их выполнение сотрудникам, отвлечься от операционки и заняться стратегическим планированием и развитием бизнеса.
Как правильно выбрать KPI
Можно установить разные виды KPI. Главное правило — эти показатели прямо или косвенно должны влиять на финансовый успех и прибыль компании. KPI ради KPI устанавливает не нужно.
Интернет-магазин хочет внедрить KPI, чтобы проанализировать эффективность рекламной кампании.
Если выбрать количество кликов на карточку, это будет не показательно, потому что клик на карточку товара не всегда связан с продажей: посетитель может уйти с сайта, так ничего и не купив.
Также ошибкой будет поставить в качестве KPI количество показов рекламы — они тоже не гарантируют продажу. Может оказаться так: по трафику цифры большие, но реальных продаж нет. А значит, KPI выполнили, но бизнес ничего не заработал.
А вот стоимость заявки, стоимость продажи, конверсия в покупку — подходящие KPI для интернет-магазина, потому что от этих показателей напрямую зависит выручка и прибыль компании.
Какие КPI выберет конкретная компания, зависит от специфики бизнеса и воронки продаж. Ниже собрали, какие они могут быть. Это только пример, не исчерпывающий список:
Гнаться за показателями ради показателей — это тупик. За KPI всегда должна скрываться реальная польза для бизнеса: рост продаж, сокращение издержек и увеличение прибыли.
Кто устанавливает KPI
KPI устанавливает собственник бизнеса, исходя из собственных целей и планов по прибыли.
Если речь идет о большом бизнесе с разными подразделениями и отделами, то руководители устанавливают для подчиненных KPI с оглядкой на главный высокоуровневый показатель.
Например, для отдела продаж это может быть показатель количества продаж или объема оптовых сделок, в маркетинге — количества привлеченных новых клиентов.
Как оценить KPI
Чтобы рассчитать KPI, можно воспользоваться простой формулой:
У Марии стоял KPI привести в кофейню 600 посетителей в месяц, которые должны принести 200 000 ₽ выручки. Но в июне она смогла привлечь только 500 посетителей:
500 / 600 × 100% = 83,35%.
То есть Мария выполнила KPI по привлечению на 83%.
Если эти посетители покупали на средний чек 500 ₽, то выручка Марии получилась:
500 × 500 ₽ = 250 000 ₽.
Теперь оцениваем выполнение KPI по прибыли в июне:
150 000 ₽ / 200 000 ₽ × 100% = 75%.
Мария выполнила KPI по прибыли только на 75%.
Но допустим, что эти 500 посетителей оказались более обеспеченной ЦА и покупали не на средний чек 500 ₽, а на 600 ₽. Ситуация меняется:
500 × 600 ₽ = 300 000 ₽.
Выручка − расходы = прибыль:
300 000 ₽ − 100 000 ₽ = 200 000 ₽.
Теперь оцениваем выполнение KPI по прибыли в июне:
2 000 000 ₽ / 200 000 ₽ × 100% = 100%.
То есть несмотря на то, что Мария не выполнила KPI по привлечению, за счет роста среднего чека она выполнила KPI по прибыли на 100%.
Показатель выполнения KPI 一 это тот индикатор, на основе которого управляющий или собственник принимает бизнес-решения.
Мария проанализировала итоги нескольких месяцев и поняла, что с такими результатами не придет к нужной прибыли. Значит, нужно пересмотреть KPI или принять другое управленческое решение. Возможны варианты:
Пример в статье утрированный, один месяц для бизнеса — это слишком мало, чтобы принимать серьезные решения. Рекомендуем анализировать результаты за квартал, полгода и год и сравнивать их с показателями прошлого года за тот же период. Дело в том, что практически в любом бизнесе есть эффект сезонности: например, для кофейни в офисном здании январь или май может быть провальным, потому что все ушли на каникулы.
Учитывайте ситуацию вокруг, сезонность и устанавливайте KPI в соответствии с рыночными особенностями вашей сферы бизнеса.
Что делать, если KPI не работает
Если бизнес из раза в раз не выполняет KPI, причины могут быть такими:
Ненастроенные бизнес-процессы. В компании не налажено взаимодействие сотрудников или отделов, информация доходит не вовремя, одно подразделение работает хорошо, а другое — плохо. Это как если бы бариста в кофейне Марии варил лучший кофе в городе, но отдел рекламы не знал об этом и не запустил рекламную кампанию.
Нереалистичная цель. Когда план завышен, это может демотивировать сотрудников. Например, запанировать рост продаж через полгода на 30% — это вполне реалистичная цель. А вот рост на 1000% — прямая дорога к потере всякой мотивации сотрудников и разочарованию в компании.
Продукт не соответствует требованиям рынка. Здесь все просто: если рынок массово переходит в онлайн и основной клиент предпочитает делать покупки в интернете, а у вашего магазина нет даже сайта, то вряд ли стоит ждать высоких бизнес-результатов.
Плохая мотивация и работа сотрудников. Если KPI реален, а некоторые сотрудники из месяца в месяц не выполняют план, нужно смотреть, кто из них потерял мотивацию, перегорел или просто ленится.
При оценке KPI нельзя делать быстрых выводов, нужно проанализировать ситуацию со всех сторон. КРI — это только инструмент, который помогает двигаться к цели. И если не выполняется он, это знак, что в ситуации нужно разобраться, а не пытаться сразу менять сотрудников или ломать процессы.
Как часто пересматривать KPI
Стандартный подход к формированию целей в бизнесе — ставить большой KPI на год и дальше декомпозировать его на полгода и поквартально. При этом чем ближе срок, тем детальнее планировать развитие бизнеса и, значит, тем подробнее и мельче разбивать KPI.
Если вы только запускаете свое дело, можно начинать с более и простых коротких KPI — на месяц и квартал. А дальше — смотреть результаты и корректировать дальнейшие планы с учетом реальных показателей бизнеса.
Главное
KPI — это ключевые показатели эффективности бизнеса. От них зависит прибыль компании и эффективность работы сотрудников. Если ориентироваться на KPI, можно проследить, насколько успешен бизнес и нужно ли менять в бизнес-модели, чтобы больше зарабатывать.
Если KPI завышен, собственники и сотрудники могут потерять мотивацию и перестать работать. Важно сравнивать KPI с фактическими результатами бизнеса, оценивать их раз в квартал, полгода и год. Анализ покажет, нужно ли менять планы по KPI, бизнес-модель или сотрудников, которые не справляются.
Подписка на новое в Бизнес-секретах
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Как подготовить и провести презентацию
Чтобы провести качественную презентацию для инвестора, сотрудников, клиента или на большую аудиторию, нужно правильно подготовиться и помнить о правилах борьбы со стрессом.
Как заработать на елках на Новый год
Продавать новогодние елки — один из самых прибыльных сезонных бизнесов. Узнали у реальных предпринимателей, как заработать на продаже елок
Какие нужны документы на помещение для открытия кафе
Собрали список документов и подробную инструкцию, как получить каждый из них
Рассылка для бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания
Защита критической информационной инфраструктуры (конспект лекции)
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021
Защита КСИИ (ключевых систем информационных инфраструктур), 2007-2014 гг.
КСИИ – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Для обеспечения безопасности информации в КСИИ, в ФСТЭК России была разработана и утверждена система методических документов (ДСП, 2007 г.):
Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры;
Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;
Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
Положение о реестре ключевых систем информационной инфраструктуры.
С выходом новых документов по защите АСУТП и КИИ старые документы по защите КСИИ можно применять с некоторыми ограничениями:
Основные документы по защите КИИ
Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступил в силу с 1 января 2018 года, ввел ряд новых определений:
Критическая информационная инфраструктура (КИИ): информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия.
К субъектам КИИ относятся организации здравоохранения, науки, транспорта, связи, энергетики, банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка), топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
ФСТЭК России: назначен федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ РФ.
НКЦКИ координирует деятельность субъектов КИИ и является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а техническая инфраструктура НКЦКИ используется для функционирования системы ГосСОПКА.
Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»:
предъявляются конкретные требования для субъектов КИИ по проведению категорирования объектов КИИ в их зоне ответственности,
Категория значимости объекта КИИ зависит от количественных показателей значимости этого объекта в социальной, политической, экономической и оборонной сферах. Категория значимости может принимать одно из трех значений (где самая высокая категория — первая, самая низкая — третья). ОКИИ может быть признан незначимым, если не соответствует ни одному из трех значений. Например, если компьютерный инцидент на объекте КИИ может привести к причинению ущерба жизни и здоровью более 500 гражданам, то объекту присваивается максимальная первая категория, а если транспортные услуги в результате инцидента могут стать недоступны для 2 тыс. — 1 млн. граждан, то объекту присваивается минимальная третья категория.
Категория значимости объекта КИИ (по ПП-127)
Категорирование объекта КИИ выполняется постоянно действующей внутренней комиссией по категорированию, которая:
выявляет объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (условно назовем их «основные процессы субъектов КИИ») в рамках деятельности субъекта
выявляет критические процессы, нарушение или прекращение которых может привести к негативным последствиям в социальной, политической, экономической и оборонной сферах
устанавливает объекты КИИ, которые обрабатывают информацию для описанных выше процессов и/или осуществляют управление, контроль или мониторинг критических процессов (условно назовем их «вспомогательные объекты КИИ»)
оценивает возможные последствия, учитывая взаимосвязи между объектами и зависимости между ними;
присваивает каждому объекту одну из трех категорий значимости либо выносит мотивированное решение о неприсвоении такой категории, с составлением акта категорирования объекта КИИ либо акта об отсутствии необходимости присвоения ему категории значимости.
Результаты категорирования отправляются во ФСТЭК России, где проверяются правильность порядка категорирования и корректность присвоения категории значимости, и в случае отсутствия замечаний полученные сведения вносятся в реестр объектов КИИ. Предусмотрен периодический (1 раз в 5 лет) и плановый (при изменении показателей критериев значимости) пересмотр установленных категорий значимости.
инвентаризация информационных ресурсов
выявление уязвимостей информационных ресурсов
анализ угроз информационной безопасности
повышение квалификации персонала информационных ресурсов
прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов
обнаружение компьютерных атак
анализ данных о событиях безопасности
реагирование на инциденты и ликвидация их последствий
установление причин инцидентов
анализ результатов устранения последствий инцидентов.
Систему ГосСОПКА мы утрированно можем называть «большим SIEM» в масштабе всей страны. Центры ГосСОПКА будет корректно сравнивать скорее с Центрами мониторинга информационной безопасности (SOC).
Центры системы ГосСОПКА подразделяются на ведомственные и корпоративные:
ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти
корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.
Субъект КИИ, относящийся к органу государственной власти, должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному коммерческому Центру, оказывающему услуги по подключению к системе ГосСОПКА.
При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:
внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга
получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры)
привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности
разработка и непрерывная актуализация сценариев атак и мониторинга
аналитика событий и инцидентов, построение отчетности.
Подключение к коммерческому центру ГосСОПКА
Подключение к внешнему (коммерческому) центру ГосСОПКА, который оказывает соответствующие услуги, позволяет передать большинство вышеописанных задач специализированной организации. От заказчика потребуется лишь подключить источники событий к коммерческому центру ГосСОПКА, согласовать формат и регламент взаимодействия, а также своевременно уведомлять об изменениях в своей ИТ-инфраструктуре.
Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (в ред. Приказа ФСТЭК России от 9 августа 2018 г. № 138) устанавливает законодательные требования в области обеспечения безопасности АСУТП.
Несмотря на наличие двух казалось бы дублирующихся направлений защиты КИИ (187-ФЗ по КИИ с подзаконными актами и Приказ №31 по АСУТП), в настоящее время государственные регуляторы придерживаются следующей точки зрения:
если объект КИИ признан значимым (т.е. ему присвоена одна из трех категорий значимости), то используется Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
если объект КИИ признан незначимым (т.е. категория значимости не была присвоена), то по решению субъекта КИИ можно применять как Приказ №31 по АСУТП, так и Приказ №239 по КИИ.
Приказ №31 ФСТЭК России от 14.03.2014
Объектами защиты в АСУТП являются:
информация о параметрах или состоянии управляемого объекта или процесса
все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры),
ПО и средства защиты.
Предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место.
Принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП.
СЗИ, используемые в АСУТП, должны пройти оценку соответствия. Формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»:
подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия)
приемка и ввод в эксплуатацию, иные формы.
Организационные шаги по защите информации в АСУТП:
формирование требований к ЗИ
разработка и внедрение системы защиты АСУТП
обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации.
На этапе формирования требований проводится важная работа по классификации АСУТП: системе присваивается один из трех классов защищенности (самый низкий класс — третий, самый высокий — первый).
Класс защищенности определяется в зависимости от уровня значимости (критичности) обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность).
Степень ущерба же может быть:
высокой (ЧП федерального или межрегионального масштаба)
средней (ЧП регионального или межмуниципального масштаба)
низкой (происшествие носит локальный характер).
На этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз:
выявляются источники угроз
оцениваются возможности нарушителей (т.е. создается модель нарушителя)
анализируются уязвимости используемых систем
определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России.
Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом.
Алгоритм выбора и применения мер для обеспечения безопасности (аналогичный Приказам ФСТЭК России №21 и №17):
выбор базового набора мер на основании предложенного списка
адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий
адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами
дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.
При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.
При внедрении технических средств защиты информации прежде всего следует использовать штатный защитный функционал используемых в АСУТП систем, а уже затем — наложенные СЗИ. Требования к классам СЗИ и СВТ и уровням контроля отсутствия НДВ в зависимости от класса защищенности АСУТП описаны в п.24 Приказа №31.
Группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:
идентификация и аутентификация
ограничение программной среды
защита машинных носителей информации
предотвращение вторжений (компьютерных атак)
защита технических средств и систем
защита информационной (автоматизированной) системы и ее компонентов
реагирование на компьютерные инциденты
управление обновлениями программного обеспечения
планирование мероприятий по обеспечению безопасности
обеспечение действий в нештатных ситуациях
информирование и обучение персонала.
Безопасность значимых объектов КИИ (ЗОКИИ)
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» регламентирует способы защиты ЗОКИИ.
Требования Приказа ФСТЭК России №239 предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ.
Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127.
Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31.
В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн.
В случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.
Приказ №239 ФСТЭК России от 25.12.2017
Разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта.
Как и в Приказе №31, анализ угроз должен включать:
выявление источников угроз
оценку возможностей нарушителей (т.е. создание модели нарушителя)
анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест)
определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.
В случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения.
При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.
Организационные и технические меры, предусмотренные положениями Приказа №239 в зависимости от категории значимости объекта КИИ и угроз безопасности информации:
идентификация и аутентификация
ограничение программной среды
защита машинных носителей информации
предотвращение вторжений (компьютерных атак)
защита технических средств и систем
защита информационной (автоматизированной) системы и ее компонентов
планирование мероприятий по обеспечению безопасности
управление обновлениями программного обеспечения
реагирование на инциденты информационной безопасности
обеспечение действий в нештатных ситуациях
информирование и обучение персонала.
Алгоритм выбора и применения мер защиты:
выбор базового набора мер для соответствующей категории значимости объекта КИИ на основании предложенного в Приказе списка
адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от использующихся технологий и характеристик объекта КИИ
включение в набор других мер, необходимых для нейтрализации актуальных угроз
адаптированный набор дополняется мерами, установленными иными применимыми нормативными правовыми документами, например, по защите информации в ГИС, ИСПДн, криптографической защите информации и т.д.
Если на объекте КИИ уже применяются меры промышленной, функциональной или физической безопасности, достаточные для нейтрализации актуальных угроз информационной безопасности, то дополнительные меры защиты можно не применять.
Подчеркиваются важность непрерывности функционирования объекта КИИ и отсутствие негативного влияния на него со стороны применяемых мер: субъект КИИ может применять более подходящие компенсирующие меры взамен базовых, которые при этом будут блокировать актуальные для объекта КИИ угрозы безопасности. Кроме того, компенсирующие меры должны применяться и при использовании новых ИТ-решений и выявлении новых угроз, не учтенных разработчиками Приказа.
Можно применять СЗИ, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.
Приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый).
На объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД.
Изменения в Приказе №239, внесенные Приказом №35 от 20.02.2020 (вступят в силу с 01.01.2023): не встроенные в общесистемное и прикладное ПО средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать 6 или более высокому уровню доверия. Утверждается программа и методика испытаний, оформляется протокол испытаний.
Указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски).
Указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, работниками его дочерних и зависимых обществ. В случае невозможности исключения удаленного доступа, требуется осуществлять контроль над подключающимися устройствами, передающейся информацией, мониторинг действий (пункт внесен Приказом №35).
Требуется запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам.
Кроме этого, все программные и аппаратные средства объекта КИИ 1 и 2 категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).
Дополнения в Приказ №239, внесенные Приказом №35 от 20.02.2020 (вступят в силу с 01.01.2023):
Требования к прикладному ПО в ЗОКИИ:
безопасная разработка ПО (анализ угроз безопасности информации, использование методологий безопасной разработки ПО)
выявление уязвимостей в ПО (статический анализ исходного кода, фаззинг-тестирование, динамический анализ кода)
устранение уязвимостей производителем ПО
поддержка производителя (информирование покупателей, обновление ПО).
Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:
создание, распространение и использование программ для неправомерного воздействия на КИИ;
неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ
нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ
указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения
указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.
Также рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:
Статья 13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» будет предусматривать ответственность за нарушение порядка категорирования объектов КИИ, нарушение требований к созданию и обеспечению функционирования систем безопасности значимых объектов КИИ, нарушение требований по обеспечению безопасности значимых объектов КИИ, а также нарушение порядка информирования, реагирования и обмена информацией о компьютерных инцидентах.
Статья 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ» предполагает ответственность за нарушение порядка предоставления сведений о категорировании объектов КИИ во ФСТЭК России, а также за невыполнение норм по обмену информацией с ГосСОПКА.