Положением о системах оповещения населения, утвержденным совместным приказом МЧС России и Минцифры России от 31.07.2020 N 578/365 определены требования к защите информации в системах оповещения населения.
Система оповещения населения, как правило, имеет многоуровневую структуру:
уровень пользовательского (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, ответственной за включение (запуск) системы оповещения населения) управления (верхний уровень);
уровень автоматического управления (средний уровень);
уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).
а) на уровне пользовательского (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, ответственной за включение (запуск) системы оповещения населения) управления:
пользовательские (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, ответственной за включение (запуск) системы оповещения населения), инженерные автоматизированные рабочие места, серверы с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
б) на уровне автоматического управления:
программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также сеть передачи данных;
в) на уровне ввода (вывода) данных (исполнительных устройств):
датчики ЧС, системы мониторинга, оконечные средства оповещения, устройства перехвата речевых и видеотрактов, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.
Количество уровней системы оповещения населения и ее состав на каждом из уровней зависит от выполняемых его целевых функций. На каждом уровне системы оповещения населения по функциональным, территориальным или иным признакам могут выделяться дополнительные сегменты.
В системе оповещения населения объектами защиты являются:
информация (данные) о параметрах (состоянии) ТСО или процесса оповещения (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
ТСО, включающие технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства за исключением оконечных средств оповещения (громкоговорителей и электросирен), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.
Защита информации в системе оповещения населения достигается путем принятия в рамках системы защиты системы оповещения населения совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования системы оповещения населения и управляемого (контролируемого) ТСО и (или) процесса, на локализацию и минимизацию последствий от возможной реализации угроз безопасности информации, восстановление штатного режима функционирования системы оповещения населения в случае реализации угроз безопасности информации.
Принимаемые организационные и технические меры защиты информации:
должны обеспечивать доступность обрабатываемой в системе оповещения населения информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации);
должны соотноситься с мерами по эксплуатационной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности системы оповещения населения и управляемого (контролируемого) ТСО и (или) процесса;
не должны оказывать отрицательного влияния на штатный режим функционирования системы оповещения населения.
Проведение работ по защите информации в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденным приказом ФСТЭК России от 14 марта 2014 г. N 31 и Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17 в ходе создания (реконструкции) и эксплуатации системы оповещения населения осуществляется государственным заказчиком-координатором работ и (или) генеральным подрядчиком (исполнителем) работ самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".
Для обеспечения защиты информации в системе оповещения населения проводятся следующие мероприятия:
формирование требований к защите информации в системе оповещения населения;
разработка системы защиты системы оповещения населения;
внедрение системы защиты системы оповещения населения и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации системы оповещения населения;
обеспечение защиты информации при выводе из эксплуатации системы оповещения населения.
Формирование требований к защите информации в системе оповещения населения осуществляется государственным заказчиком-координатором работ.
Формирование требований к защите информации в системе оповещения населения осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583), ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и нормативных документов субъекта Российской Федерации и в том числе включает:
принятие решения о необходимости защиты информации в системе оповещения населения;
классификацию системы оповещения населения по требованиям защиты информации (далее - классификация системы оповещения населения);
определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования системы оповещения населения, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты системы оповещения населения.
При определении требований к системе защиты системы оповещения населения учитываются положения политик обеспечения информационной безопасности государственного заказчика-координатора в случае их разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", а также политик обеспечения информационной безопасности генерального подрядчика (исполнителя) работ в части, не противоречащей политикам заказчика.
Разработка системы защиты системы оповещения населения организуется государственным заказчиком-координатором и осуществляется генеральным подрядчиком (исполнителем) работ.
Разработка системы защиты системы оповещения населения осуществляется в соответствии с техническим заданием на создание (модернизацию) системы оповещения населения и (или) техническим заданием (частным техническим заданием) на создание системы защиты системы оповещения населения с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания", ГОСТ Р 51583, ГОСТ Р 51624 и нормативных актов субъекта Российской Федерации и в том числе включает:
проектирование системы защиты системы оповещения населения;
разработку эксплуатационной документации на систему защиты системы оповещения населения.
Система защиты системы оповещения населения не должна препятствовать штатному режиму функционирования системы оповещения населения при выполнении ее функций в соответствии с назначением системы оповещения населения.
При разработке системы защиты системы оповещения населения учитывается ее информационное взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями.
Результаты проектирования системы защиты системы оповещения населения отражаются в проектно-сметной документации на систему оповещения населения (систему защиты системы оповещения населения), разрабатываемой с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" и нормативных актов органа исполнительной власти субъекта Российской Федерации.
Эксплуатационная документация на систему защиты системы оповещения населения разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201, ГОСТ Р 51624 и нормативных актов органа исполнительной власти субъекта Российской Федерации и должна в том числе содержать описание:
структуры системы защиты системы оповещения населения;
состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
правил эксплуатации системы защиты системы оповещения населения.
Внедрение системы защиты системы оповещения населения осуществляется в соответствии с проектно-сметной и эксплуатационной документацией на систему защиты информации системы оповещения населения и в том числе включает:
настройку (задание параметров программирования) программного обеспечения системы оповещения населения;
разработку документов, определяющих правила и процедуры (политики), реализуемые дежурной (дежурно-диспетчерской) службой органа повседневного управления РСЧС, ответственной за включение (запуск) системы оповещения населения для обеспечения защиты информации в системе оповещения населения в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
установку и настройку средств защиты информации в системе оповещения населения;
предварительные испытания системы защиты системы оповещения населения;
опытную эксплуатацию системы защиты системы оповещения населения;
анализ уязвимостей системы оповещения населения и принятие мер по их устранению;
приемочные испытания системы защиты системы оповещения населения.
Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов государственного заказчика-координатора или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
При внедрении организационных мер защиты информации осуществляются:
введение ограничений на действия персонала (пользователей (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, ответственной за включение (запуск) системы оповещения населения), администраторов, обеспечивающего персонала), а также на условия эксплуатации, изменение состава и конфигурации ТСО и программного обеспечения;
определение администратора безопасности информации;
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа;
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала системы оповещения населения и администратора безопасности информации, направленных на обеспечение защиты информации;
отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию системы оповещения населения и защиту информации.
Установка и настройка средств защиты информации осуществляется в случаях, если такие средства необходимы для блокирования (нейтрализации) угроз безопасности информации, которые невозможно исключить настройкой (заданием параметров) программного обеспечения системы оповещения населения и (или) реализацией организационных мер защиты информации.
Анализ уязвимостей системы оповещения населения проводится в целях оценки возможности преодоления нарушителем системы защиты системы оповещения населения и нарушения безопасного функционирования системы оповещения населения за счет реализации угроз безопасности информации.
По решению государственного заказчика-координатора для подтверждения выявленных уязвимостей может проводиться тестирование системы оповещения населения на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) системы оповещения населения.
В случае выявления уязвимостей в системы оповещения населения, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и, при необходимости, принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.
Анализ уязвимостей системы оповещения населения проводится до ввода системы оповещения населения в эксплуатацию на этапах, определяемых государственным заказчиком-координатором.
Приемочные испытания системы защиты системы оповещения населения проводятся, как правило, в рамках приемочных испытаний системы оповещения населения в целом с учетом ГОСТ 34.603 и нормативных актов субъекта Российской Федерации.
По решению государственного заказчика-координатора подтверждение соответствия системы защиты системы оповещения населения техническому заданию на создание (модернизацию) системы оповещения населения и (или) техническому заданию (частному техническому заданию) на создание системы защиты системы оповещения населения, а также Требованиям, утвержденным приказом ФСТЭК России от 14 марта 2014 г. N 31 и приказом ФСТЭК России от 11 февраля 2013 г. N 17 может проводиться в форме аттестации системы оповещения населения на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.
Организационные и технические меры защиты информации, реализуемые в системе оповещения населения в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик системы оповещения населения и особенностей ее функционирования должны обеспечивать:
идентификацию и аутентификацию;
ограничение программной среды;
защиту машинных носителей информации;
предотвращение вторжений (компьютерных атак);
защиту технических средств и систем;
защиту информационной (автоматизированной) системы и ее компонентов;
реагирование на компьютерные инциденты;
управление обновлениями программного обеспечения;
планирование мероприятий по обеспечению безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности систем приведены в приказе ФСТЭК России от 14 марта 2014 г. N 31.
При отсутствии возможности реализации отдельных мер защиты информации на каком-либо из уровней системы оповещения населения и (или) невозможности их применения к отдельным ТСО и субъектам доступа, в том числе вследствие их негативного влияния на штатный режим функционирования системы оповещения населения, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности системы оповещения населения.
В этом случае в ходе разработки системы защиты системы оповещения населения должно быть проведено обоснование применения компенсирующих мер, а при приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей