С 1 января 2018 года вступил в силу закон 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) РФ». Организации, которые попадают под его действие – субъекты КИИ – должны интегрироваться с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), предоставить информацию о компьютерных инцидентах в ФСБ России и обеспечить безопасность объектов КИИ. При этом безопасность систем, обеспечивающих контроль и управление технологическим и производственным оборудованием и реализованными на нем процессами (АСУ ТП), дополнительно регулируется приказом ФСТЭК №31.

Срок выполнения указанных требований – 3 года со дня проведения категорирования объекта или последней плановой проверки. За неисполнение предписаний на организации налагаются административные штрафы, а ответственным лицам грозит лишение свободы на срок до 6 лет (при наступлении инцидентов с тяжкими последствиями или их угрозой).

К объектам КИИ относятся госорганы и учреждения, а также юридические лица из наиболее значимых отраслей: здравоохранения, науки, транспорта, связи, финансов, атомной и топливной энергетики, промышленности (горнодобывающей, металлургической, химической, оборонной, ракетно-космической).

Наша компания осуществляет полный комплекс работ по обеспечению информационной безопасности КИИ на всех этапах:

• Проведение категорирования объектов КИИ (в том числе формирование перечня объектов).
• Обеспечение безопасности значимых объектов КИИ, в том числе проектирование и внедрение системы защиты АСУ ТП.

Подключение организации к системе ГосСОПКА, как на базе собственного центра мониторинга инцидентов ИБ ISOC, так и на базе центра мониторинга заказчика.

Защита АСУ ТП

Основы нашего подхода:

Системы, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием и реализованными на нем технологическими и (или) производственными процессами.

В основе Приказов ФСТЭК №31/239 лежит NIST SP 800-82, а также Стандарты ISO/IEC 62443.

Использование ГОСТ 34 и РД 50.

Приказ ФСТЭК №31 обязателен к применению для АСУ ТП, являющимися объектами критической информационной инфраструктуры без категории.

Объекты защиты:

1. Информация. Информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая информация, контрольно-измерительная информация и т.д.).

2. ПТК. Программно-технический комплекс, включающий: АРМ, промышленные серверы, телекоммуникационное оборудование, канали связи, ПЛК, исполнительные устройства.

3. ПО. Микропрограммное, общесистемное и прикладное программное обеспечение.

Этапы работ:

• Обследование объекта и технологических процессов.
• Определение актуальных угроз безопасности информации.
• Определение необходимых защитных мер.
• Определение способов реализации защитных мер.
• Разработка технического задания на СЗ АСУ ТП.
• Проектирование СЗ АСУ ТП.
• Внедрение СЗ АСУ ТП.

Если у вас есть вопросы, напишите, пожалуйста, нашим специалистам: