Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента защиты технических средств объектов КИИ

1 1 16

Цель: определение и установление общих требований по организации физического доступа для защиты технических средств (АРМ, серверное оборудование, телекоммуникационное оборудование и др.) и систем, входящих в состав объектов критической информационной инфраструктуры (или являющихся таковыми).

Регламент описывает требования к границам контролируемых зон и определяет:

общий порядок по управлению физическим доступом к техническим средствам объектов КИИ.
порядок размещения устройств отображения информации.

Рекомендации к заполнению карточки:

Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент защиты технических средств и систем объектов КИИ.docx

Цепочка мер

Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением

Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Утверждение Регламента защиты технических средств объектов КИИ

Предшествующие меры

№	Этап -1	Этап -2
1				Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением	Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	21

Заметки

SECURITM

1 месяц назад

Community

Регламент защиты технических средств и систем объектов критической информационной инфраструктуры [наименование организации]

1. Общие сведения
1.1. Настоящий Регламент разработан с учетом положений следующих документов:

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».

1.2. Целью разработки данного Регламента является [наименование организации] общих правил, требований и процедур защиты технических средств и систем:

значимых объектов критической информационной инфраструктуры (далее – ЗОКИИ);
объектов критической информационной инфраструктуры, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – ОКИИ).

1.3. Настоящий Регламент предназначен для администраторов безопасности ЗОКИИ и ОКИИ.

2. Термины и определения
2.1. Термины и определения, применяемые для целей настоящего регламента:

Безопасность информации – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Информационные ресурсы – отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Контролируемая зона – пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.
Критическая информационная инфраструктура (КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Несанкционированный доступ – доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Техническое средство – аппаратное или программно-аппаратное устройство, осуществляющее формирование, обработку, передачу или прием информации в информационной системе.
Угроза безопасности информации – совокупность условий и факторов, определяющих потенциальную или реально существующую опасность нарушения безопасности информации.
Устройство – конструктивно законченный технический элемент, имеющий определенное функциональное назначение в информационной системе.

3. Цель и задачи защиты технических средств и систем
3.1. Целью реализации защиты технических средств и систем является предупреждение и предотвращение угроз безопасности информации, реализуемых за счет физического доступа к устройствам ЗОКИИ (ОКИИ).
3.2. Реализация защиты технических средств и систем ЗОКИИ (ОКИИ) достигается решением следующих задач:

организация контролируемых зон;
управление физическим доступом на территорию контролируемых зон;
размещение устройств вывода (отображения) информации таким образом, чтобы исключить несанкционированный просмотр информации, выводимой (отображаемой) на таком устройстве;
защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).

4. Организация контролируемой зоны
4.1. Под организацией контролируемых зон подразумевается определение [наименование должности руководителя организации] [наименование организации] границ контролируемых зон.
4.2. Границами контролируемой зоны могут являться периметр охраняемой территории, ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
4.3. При определении границ контролируемых зон необходимо рассматривать пространство (территорию, здание, часть здания), в пределах которой постоянно размещаются:

стационарные технические средства ЗОКИИ (ОКИИ);
средства защиты информации ЗОКИИ (ОКИИ);
средства обеспечения функционирования ЗОКИИ (ОКИИ).

5. Управление физическим доступом на территорию контролируемых зон
5.1. Управление физическим доступом предусматривает:

определение лиц, имеющих право постоянного доступа на территорию контролируемых зон. Перечень лиц утверждается [наименование должности руководителя организации] [наименование организации];
санкционирование физического доступа на территорию контролируемых зон;
учет доступа на территорию контролируемых зон.

5.2. Управление физическим доступом достигается за счет:

оснащения входных дверей помещений, в которых расположены технические средства и устройства ЗОКИИ (ОКИИ), замками;
постоянного закрытия входных дверей помещений, в которых расположены технические средства и устройства ЗОКИИ (ОКИИ), на замок и их открытия только для санкционированного прохода;
внедрения контрольно-пропускного и внутриобъектового режима (доступ посетителей на территорию контролируемой зоны осуществляется только при наличии пропуска и документа, удостоверяющего личность);
организации доступа к информационным ресурсам по заявке, согласованной в соответствии с пропускным внутриобъектовым режимом;
предоставления доступа в помещения, в которых размещены серверные компоненты ЗОКИИ (ОКИИ) и обеспечивающие их функционирование устройства, строго определенному кругу лиц, осуществляющему их техническое обслуживание и сопровождение;
ограничения нахождения посетителей и других лиц, имеющих право разового доступа на территорию контролируемой зоны. Нахождение таких лиц допускается только в присутствии лиц, имеющих право постоянного доступа на территорию контролируемых зон;
ознакомления лиц, которым предоставлено право постоянного доступа на территорию контролируемых зон, с локальными актами в области обеспечения безопасности КИИ;
предоставления доступа на территорию контролируемых зон только тем лицам, которым указанный доступ необходим в рамках исполнения должностных обязанностей или обязанностей, предусмотренных договорами (соглашениями);
фиксирования факта разового доступа лиц на территорию контролируемых зон в журнале, содержащем персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию [наименование организации]. Форма журнала утверждается [наименование должности руководителя организации] [наименование организации] организационно-распорядительным документом.

6. Размещение устройств вывода (отображения) информации

6.1. В ЗОКИИ (ОКИИ) в качестве устройств вывода (отображения) информации рассматриваются:

мониторы автоматизированных рабочих мест пользователей ЗОКИИ (ОКИИ);
мониторы консолей управления технических средств (серверов, телекоммуникационного оборудования и иных технических средств);
печатающие устройства.

6.2. При размещении данных устройств вывода (отображения) информации следует исключать возможность несанкционированного просмотра выводимой на них информации как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны. С этой целью не следует размещать устройства вывода (отображения, печати) информации напротив:

оконных проемов;
входных дверей;
технологических отверстий;
в коридорах, холлах;
в иных местах, доступных для несанкционированного просмотра.

7. Обеспечение защиты от внешних воздействий
7.1. Защита от внешних воздействий должна осуществляться в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов) и должна предусматривать:

выполнение норм и правил пожарной безопасности;
выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств;
обеспечение необходимого для эксплуатации технических средств температурно-влажностного режима и условий по степени запыленности воздуха.

8. Ответственность
8.1. Администраторы безопасности ЗОКИИ (ОКИИ) несут персональную ответственность за ненадлежащее исполнение или неисполнение требований, предусмотренных настоящим Регламентом.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.