СИСТЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ В АО «ФНПЦ«ПО «СТАРТ» ИМ. М.В. ПРОЦЕНКО»
|
Введение 5
1 Описание субъекта критической информационной инфраструктуры 8
2 Определение объектов критической информационной инфраструктуры 11
2.1 Создание комиссии по категорированию объектов критической
информационной инфраструктуры 11
2.2 Порядок определения объектов критической информационной
инфраструктуры 11
2.3 Определение процессов субъекта критической информационной
инфраструктуры и выявление среди них критических 12
2.4 Определение объектов критической информационной
инфраструктуры, необходимых для критических процессов 21
3 Методика проведения категорирования типовых автоматизированных систем
в защищенном исполнении и основных информационных систем 22
4 Создание системы обеспечения информационной безопасности значимых
объектов критической информационной инфраструктуры 29
5 Установка требований, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта критической информационной
инфраструктуры и формирование плана мероприятий 33
6 Моделирование угроз безопасности информации на значимых объектах критической информационной инфраструктуры 36
6.1 Моделирование угроз безопасности. Общие положения 36
6.2 Модель нарушителя 36
6.3 Определение актуальности угроз безопасности информации 43
6.4 Описание актуальных угроз безопасности информации 111
7 Внедрение организационных и технических мер по обеспечению безопасности значимого объекта критической информационной инфраструктуры 117
7.1 Базовый набор мер по обеспечению безопасности значимого объекта
критической информационной инфраструктуры 117
7.2 Техническое задание на создание системы безопасности значимого
объекта 117
8 Описание взаимодействия субъекта критической информационной
инфраструктуры с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак 125
9 Вредные психофизиологические факторы, влияющие на нервную систему специалиста по защите информации. Методы и средства физической культуры,
снижающие их воздействие 131
Заключение 133
Список использованных источников 134
Приложение А Приказ о создании комиссии по категорированию 136
Приложение Б Перечень объектов критической информационной
инфраструктуры 139
Приложение В Акт о результатах присвоения критическим процессам объекта критической информационной инфраструктуры категории значимости 140
Приложение Г Акт о результатах присвоения объекту критической информационной инфраструктуры категории значимости 148
Приложение Д Приказ о создании системы безопасности значимых объектов критической информационной инфраструктуры 160
Приложение Е Приказ о назначении ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры 161
Приложение Ж План проведения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры 163
Приложение И Модель нарушителя 164
Приложение К Модель угроз безопасности информации 171 Приложение Л Базовый набор мер по обеспечению безопасности значимого
объекта для III категории значимости 264
Приложение М Техническое задание на создание системы безопасности значимого объекта критической информационной инфраструктуры 270
Приложение Н Приказ об организации взаимодействия с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак 286
1 Описание субъекта критической информационной инфраструктуры 8
2 Определение объектов критической информационной инфраструктуры 11
2.1 Создание комиссии по категорированию объектов критической
информационной инфраструктуры 11
2.2 Порядок определения объектов критической информационной
инфраструктуры 11
2.3 Определение процессов субъекта критической информационной
инфраструктуры и выявление среди них критических 12
2.4 Определение объектов критической информационной
инфраструктуры, необходимых для критических процессов 21
3 Методика проведения категорирования типовых автоматизированных систем
в защищенном исполнении и основных информационных систем 22
4 Создание системы обеспечения информационной безопасности значимых
объектов критической информационной инфраструктуры 29
5 Установка требований, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта критической информационной
инфраструктуры и формирование плана мероприятий 33
6 Моделирование угроз безопасности информации на значимых объектах критической информационной инфраструктуры 36
6.1 Моделирование угроз безопасности. Общие положения 36
6.2 Модель нарушителя 36
6.3 Определение актуальности угроз безопасности информации 43
6.4 Описание актуальных угроз безопасности информации 111
7 Внедрение организационных и технических мер по обеспечению безопасности значимого объекта критической информационной инфраструктуры 117
7.1 Базовый набор мер по обеспечению безопасности значимого объекта
критической информационной инфраструктуры 117
7.2 Техническое задание на создание системы безопасности значимого
объекта 117
8 Описание взаимодействия субъекта критической информационной
инфраструктуры с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак 125
9 Вредные психофизиологические факторы, влияющие на нервную систему специалиста по защите информации. Методы и средства физической культуры,
снижающие их воздействие 131
Заключение 133
Список использованных источников 134
Приложение А Приказ о создании комиссии по категорированию 136
Приложение Б Перечень объектов критической информационной
инфраструктуры 139
Приложение В Акт о результатах присвоения критическим процессам объекта критической информационной инфраструктуры категории значимости 140
Приложение Г Акт о результатах присвоения объекту критической информационной инфраструктуры категории значимости 148
Приложение Д Приказ о создании системы безопасности значимых объектов критической информационной инфраструктуры 160
Приложение Е Приказ о назначении ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры 161
Приложение Ж План проведения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры 163
Приложение И Модель нарушителя 164
Приложение К Модель угроз безопасности информации 171 Приложение Л Базовый набор мер по обеспечению безопасности значимого
объекта для III категории значимости 264
Приложение М Техническое задание на создание системы безопасности значимого объекта критической информационной инфраструктуры 270
Приложение Н Приказ об организации взаимодействия с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак 286
В настоящий момент большинство сфер жизни человека, общества и государства зависят от информационных инфраструктур. Исходя из этого вопрос информационной безопасности стал актуальным на международном уровне. В большинстве случаев кибер-атакам подвержены объекты критической информационной инфраструктуры, а именно: информационно
телекоммуникационные системы, информационные системы, автоматизированные системы управления государственных органов, учреждений и компаний, функционирующих во всех областях деятельности городов, субъектов, а так же всей страны в целом.
Субъектами критической информационной инфраструктуры являются организации и предприятия, которые работают в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и других сферах финансового рынка, топливно-энергетического комплекса, в областях атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Они обязаны выполнять требования по безопасности, установленные 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Непрерывное, а так же устойчивое функционирование критической информационной инфраструктуры при проводимых по отношению к ней компьютерных атак — основное правило обеспечения информационной безопасности критической информационной инфраструктуры. Поскольку остановка какого-либо технологического процесса или бизнес процесса, следующая за отказом системы, вероятно приведет к потерям, которые измеряются не только денежным отношением, но и человеческими жизнями. Исходя из этого важно обеспечить высокий уровень надежности и отказоустойчивости системы безопасности значимых объектов критической информационной инфраструктуры.
Цель выпускной квалификационной работы — разработка проекта системы обеспечения безопасности объектов критической информационной инфраструктуры в АО «ФНПЦ «ПО «Старт» им. М.В. Проценко».
5
Задачи выпускной квалификационной работы:
• определение процессов субъекта критической информационной инфраструктуры (КИИ) и выявление среди них критических;
• определение объектов КИИ, необходимых для критических процессов;
• проведение категорирования значимого объекта КИИ;
• создание системы обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры (ЗОКИИ);
• установка требований, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ и формирование плана мероприятий;
• моделирование угроз безопасности информации на ЗОКИИ;
• внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ;
• описание процесса взаимодействия субъекта КИИ с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
• изучение вредных психофизиологических факторов, влияющих на нервную систему специалиста по защите информации, так же методов и средств физической культуры, которые снижают их воздействие.
Актуальность создания системы безопасности значимых объектов критической информационной инфраструктуры на предприятии обусловлена необходимостью обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении по отношению к ней компьютерных атак.
...
телекоммуникационные системы, информационные системы, автоматизированные системы управления государственных органов, учреждений и компаний, функционирующих во всех областях деятельности городов, субъектов, а так же всей страны в целом.
Субъектами критической информационной инфраструктуры являются организации и предприятия, которые работают в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и других сферах финансового рынка, топливно-энергетического комплекса, в областях атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Они обязаны выполнять требования по безопасности, установленные 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Непрерывное, а так же устойчивое функционирование критической информационной инфраструктуры при проводимых по отношению к ней компьютерных атак — основное правило обеспечения информационной безопасности критической информационной инфраструктуры. Поскольку остановка какого-либо технологического процесса или бизнес процесса, следующая за отказом системы, вероятно приведет к потерям, которые измеряются не только денежным отношением, но и человеческими жизнями. Исходя из этого важно обеспечить высокий уровень надежности и отказоустойчивости системы безопасности значимых объектов критической информационной инфраструктуры.
Цель выпускной квалификационной работы — разработка проекта системы обеспечения безопасности объектов критической информационной инфраструктуры в АО «ФНПЦ «ПО «Старт» им. М.В. Проценко».
5
Задачи выпускной квалификационной работы:
• определение процессов субъекта критической информационной инфраструктуры (КИИ) и выявление среди них критических;
• определение объектов КИИ, необходимых для критических процессов;
• проведение категорирования значимого объекта КИИ;
• создание системы обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры (ЗОКИИ);
• установка требований, которые необходимо выполнить для обеспечения безопасности каждого ЗОКИИ и формирование плана мероприятий;
• моделирование угроз безопасности информации на ЗОКИИ;
• внедрение организационных и технических мер по обеспечению безопасности ЗОКИИ;
• описание процесса взаимодействия субъекта КИИ с центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
• изучение вредных психофизиологических факторов, влияющих на нервную систему специалиста по защите информации, так же методов и средств физической культуры, которые снижают их воздействие.
Актуальность создания системы безопасности значимых объектов критической информационной инфраструктуры на предприятии обусловлена необходимостью обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении по отношению к ней компьютерных атак.
...
В ходе выполнения выпускной квалификационной работы были определены процессы субъекта КИИ и выявлены среди них критические, так же определены объекты КИИ, необходимые для данных критических процессов. Проведено категорирование значимого объекта КИИ.
Создана система обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры. Установлены требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта критической информационной инфраструктуры и сформирован план мероприятий. Выполнено моделирование угроз безопасности информации на значимом объекте критической информационной инфраструктуры, внедрение организационных и технических мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Был описан процесс взаимодействия субъекта КИИ с центрами ГосСОПКА.
Были изучены вредные психофизиологические факторы, влияющие на нервную систему специалиста по защите информации, так же методы и средства физической культуры, которые снижают их воздействие.
Таким образом, задание на выпускную квалификационную работу были выполнены в полном объеме.
Протокол проверки на оригинальность представлен в приложении П.
Создана система обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры. Установлены требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта критической информационной инфраструктуры и сформирован план мероприятий. Выполнено моделирование угроз безопасности информации на значимом объекте критической информационной инфраструктуры, внедрение организационных и технических мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Был описан процесс взаимодействия субъекта КИИ с центрами ГосСОПКА.
Были изучены вредные психофизиологические факторы, влияющие на нервную систему специалиста по защите информации, так же методы и средства физической культуры, которые снижают их воздействие.
Таким образом, задание на выпускную квалификационную работу были выполнены в полном объеме.
Протокол проверки на оригинальность представлен в приложении П.
