Информация по критической информационной инфраструктуре

Прошли категорирование. Что дальше?

В медицинских учреждениях большинство медицинского оборудования не отнесено к значимым объектам КИИ, а не значимыми объектами приняты автоматизированные системы управления (АСУ) оборудованием. Что делать дальше?

За функционирование и безопасность АСУ назначены ответственные.

Оценены угрозы безопасности АСУ, при этом учитываются различные аспекты, которые должны выполняться, чтобы угрозы оставались не актуальными, а объект не значимым.

Мы разработали Положение об обеспечении безопасности информации в АСУ медицинским оборудованием, которое учитывает все меры обеспечения безопасности, рекомендуемые к применению в АСУ Приказом ФСТЭК №31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".

Дополнительные документы:

Модель угроз безопасности АСУ медицинским оборудованием (учтены особенности эксплуатации и функциональность оборудования),  
Акт классификации АСУ (все АСУ медицинским оборудованием 3 класса защищенности),
Технический паспорт АСУ (пример заполнения),
Аналитическое обоснование мер обеспечения безопасности в АСУ (на основании Приказа ФСТЭК №31 и дополнительные меры по Приказу №239 и других рекомендаций ФСТЭК для не значимых объектов КИИ)

Положение об обеспечении безопасности АСУ медицинским оборудованием - содержание:

Оглавление    2 
1. Область применения    4
2. Источники разработки и нормативные ссылки    4
3. Определения и сокращения    5
4. Цели настоящего Положения    7
5. Характеристика объектов защиты    8
5.1. Общие сведения об АСУ МО    8
5.2. Архитектура АСУ МО    8
5.3. Особенности ОБИ АСУ МО    9
6. Модель угроз и нарушителя безопасности информации    10
6.1. Общие положения    10
6.2. Модель угроз безопасности информации    11
6.3. Модель нарушителя безопасности информации    11
7. Функциональное назначение системы обеспечения безопасности информации    12
8. Контроль физического доступа и защита от воздействия окружающей среды (ЗТС, ЗИС)    14
8.1. Требования по контролю физического доступа    14
8.1.1 Требования к периметру безопасности учреждения, зданий и помещений АСУ МО (ЗТС)    14
8.1.2 Требования по контролю физического доступа к компонентам АСУ МО (ЗИС)    15
8.2.Требования по защите от воздействий окружающей среды и внешних факторов (ЗТС.5)    16
8.2.1 Требования к размещению оборудования АСУ МО    16
8.2.2 Требования к кондиционированию и вентиляции    17
8.2.3 Требования по электроснабжению АСУ МО    17
8.3. Требования к техническим средствам обеспечения безопасности (ЗИС.2)    18
8.3.1 Требования к системам видеонаблюдения    18
8.3.2 Требования к системам охранной сигнализации    19
8.3.3 Требования к системам контроля и управления доступом    19
9. Меры обеспечения безопасности    19
9.1 Защита от несанкционированного доступа (ИАФ и УПД)    19
9.1.1 Особенности организации контроля доступа в АСУ МО    19
9.1.2 Организация и контроль доступа    20
9.1.3 Идентификация и аутентификация, разграничение прав и регистрация доступа    21
9.1.4 Реализация защищенного удаленного доступа (УПД.13)    24
9.1.5 Требования по контролю использования системных утилит, портов, сервисов и мобильных носителей    25
9.2 Защита от вредоносного программного обеспечения (АВЗ)    26
9.2.1 Требования по совместимости средств антивирусной защиты и ПО АСУ МО    26
9.2.2 Структура и состав системы антивирусной защиты    27
9.2.3 Конфигурация антивирусного ПО    27
9.2.4 Установка обновлений антивирусного ПО    28
9.2.5 Контроль функционирования системы антивирусной защиты    28
9.3 Защита носителей информации (ЗНИ)    29
9.3.1 Работа с конфиденциальными цифровыми носителями    29
9.3.2 Контроль записи информации на машинные носители    31
9.4 Контроль состава и целостности программного обеспечения (ОПС, ОЦЛ)    31
9.5 Контроль конфигураций АСУ МО (ОЦЛ, УКФ)    32
9.6 Контроль изменений и обновлений АСУ МО (ОЦЛ, ОПО)    33
9.7 Управление инцидентами ИБ (ИНЦ)    34
10 Обеспечение безопасности сетевой инфраструктуры    36
10.1 Безопасность коммуникаций и защита информации, передаваемой по каналам связи    37
10.2 Мониторинг сетевой инфраструктуры    38
10.3 Управление сетевой инфраструктурой    38
11 Обеспечение непрерывного функционирования АСУ МО    39
11.1 Планирование и управление непрерывностью (ПЛН)    39
11.2 Действия в нештатных ситуациях (ДНС)    39
11.2.1 Уровни реагирования на ситуацию    40
11.2.2 Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций    40
11.2.3 Анализ ситуации    41
11.3 Отказоустойчивость и высокая доступность (ОДТ)    41
11.4 Резервное копирование данных    43
12 Аудит безопасности (АУД)    44
12.1 Организация аудита безопасности    44
12.2 Оценка соответствия архитектуры и мер по ОБИ установленным требованиям    47
12.3 Инвентаризация информационных ресурсов (АУД.1, АУД.3)    48
12.4 Управление уязвимостями (АУД.2)    48
12.5 Регистрация событий безопасности (АУД.4, АУД.6)    49
13 Управление персоналом (ИПО)    51
13.1 Определение потребностей в обучении и подготовке персонала   51
13.2 Инструктажи по вопросам ОБИ    52
14 Хранение и архивирование    53
15 Рассылка и актуализация    53
Приложение №1 Форма. Технический паспорт АСУ МО    54
Приложение №2 План обеспечения безопасности информации в АСУ МО    57
Приложение №3 План действий в внештатных ситуациях    60

Вам могут предлагать десятки документов для защиты не значимых объектов КИИ - АСУ томографом или АСУ рентгеном за много денег. Мы объединили разные инструкции в один документ - Положение. Много документов делать логично, если они предназначены для исполнения разным специалистам. В остальных случаях это только повод взять с вас больше денег.

Мы оказываем методическую помощь в разработке документов. При необходимости получения услуг лицензиата ФСТЭК в сфере защиты объектов КИИ, стоимость услуг значительно выше, для этого случая направьте запрос на адрес it45@it45.ru 

категорирование объектов кии в медицине

За 2019 и 2020 год мы сделали 28 проектов по категорированию объектов КИИ в медицине. Опыт согласования Перечня объектов и Сведений о категорировании объектов КИИ во ФСТЭК России.

28
проектов в медицине

Сложности с категорированием?

Оказываем методическую помощь при определении и категорировании объектов критической информационной инфраструктуры в сфере здравоохранения. 

Быстро и недорого. По всем рекомендациям ФСТЭК и Департамента здравоохранения Курганской области.

правовая база

- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- Указ Президента РФ от 25 ноября 2017 г. № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085»
- Указ Президента РФ «О внесении изменений в Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации компьютерных атак»
- Указ Президента РФ от 2 марта 2018 г. № 98 «О внесении изменений в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203»
- Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства РФ от 8 февраля 2018 г. № 127
- Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства РФ от 17 февраля 2018 г. № 162
- Приказ ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. № 227
- Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235
- Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
- Форма сведений о результатах присвоению объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденная приказом ФСТЭК России от 22 декабря 2017 г. № 236
-
Указ Президента Российской Федерации от 22 декабря 2017 г. № 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"


Контакты

Адрес

г. Курган, ул. Бурова-Петрова, 112А-250

Телефон

+7-961-7500-977

Email

it45@it45.ru