Полезные ссылки


Перечень отраслевых показателей уровня ущерба национальным интересам РБ для критически важных объектов информатизации в научно-технологической сфере

 

Утверждено Приказом Государственного комитета по науке и технологиям Республики Беларусь от 08.06.2012 № 210


1. Показатели критически важных объектов информатизации

1.1. Степень важности объекта: особо важный режимный объект; особо важный объект; особо режимный объект; важный объект, режимный объект; нережимный объект, некритически важный объект.

1.2. Функциональное назначение объекта информатизации:

- обеспечение функционирования особо важного режимного объекта;

- обеспечение функционирования особо важного объекта;

- обеспечение функционирования особо режимного объекта;

- обеспечение функционирования режимного объекта;

- обеспечение функционирования важного объекта;

- обеспечение функционирования некритически важного объекта;

- обеспечение функционирования нережимного объекта.

1.3 Категория обрабатываемой информации на объекте информатизации:

- информация, содержащая государственные секреты категории «государственная тайна и служебная тайна»;

- информация, содержащая государственные секреты категории «государственная тайна»;

- информация, содержащая государственные секреты категории «служебная тайна»;

- особая ценная информация, не содержащая государственные секреты.

1.4. Аспекты обеспечения информационной безопасности и физической защиты:

- обеспечение целостности, конфиденциальности информации и доступности к объекту информатизации и обрабатываемой информации;

- обеспечение целостности информации и доступности к объекту информатизации и обрабатываемой информации;

- обеспечение конфиденциальности информации и доступности к объекту информатизации и обрабатываемой информации;

- обеспечение целостности и конфиденциальности обрабатываемой информации;

- обеспечение целостности обрабатываемой информации;

- обеспечение конфиденциальности обрабатываемой информации;

- обеспечение доступности к объекту информатизации и обрабатываемой информации.

1.5. Обеспечиваемый уровень информационной безопасности и физической защиты объекта:

- базовый уровень информационной безопасности и физической защиты;

- расширенный уровень информационной безопасности и физической защиты;

- усиленный уровень информационной безопасности и физической защиты.

1.6. Степень потенциальной опасности объекта:

- аварии, которые могут являться источником возникновения межгосударственных чрезвычайных ситуаций;

- аварии, которые могут являться источником возникновения государственных чрезвычайных ситуаций;

- аварии, которые могут являться источником возникновения областных чрезвычайных ситуаций;

- аварии, которые могут являться источником возникновения местных чрезвычайных ситуаций;

- аварии, которые могут являться источником возникновения локальных чрезвычайных ситуаций.

 

Перечень мероприятий по повышению защищенности критически важных объектов информатизации

1.Отнесение критически важных объектов информатизации к научно-технологической сфере.

Под критически важным объектом информатизации (КВОИ) понимается объект информатизации, отказ или нарушение функционирования которого может привести к негативным последствиям для обороны, национальной безопасности, международных отношений, экономики, другой сферы хозяйствования или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.

В свою очередь под объектом информатизации понимаются средства вычислительной техники (автоматизированные системы различного уровня и назначения, вычислительные сети и центры, автономные стационарные и персональные электронные вычислительные машины, а также копировально - множительные средства, в которых для обработки информации применяются цифровые методы), вместе с программным обеспечением, которые используются для обработки информации.

Проблема информационной безопасности КВОИ определяется с одной стороны их сложной многокомпонентной структурой, а с другой особой важностью решаемых ими задач, когда нарушение безопасности функционирования может привести к невосполнимому ущербу и катастрофическим последствиям.

Основным  показателем, отнесения критически важных объектов информатизации к научно-технологической сфере являются разработка либо использование КВОИ при разработке научно-технической продукции по приоритетным направлениям научно-технической деятельности в Республике Беларусь, утвержденным Указом Президента Республики Беларусь от 22 июля 2010 г. № 378 :

- энергетика и энергосбережение;

- агропромышленные технологии и производства;

- промышленные и строительные технологии и производства;

- медицина, медицинская техника и технологии, фармация;

- химические технологии, нанотехнологии и биотехнологии;

- информационно-коммуникационные и авиакосмические технологии;

- новые материалы;

- рациональное природопользование, ресурсосбережение и защита от чрезвычайных ситуаций;

- обороноспособность и национальная безопасность.

Регистрации в качестве КВОИ научно-технологической сферы подлежат разработки КВОИ, либо разработки, содержащие КВОИ, включенные в государственный реестр НИОКТР.

После введения КВОИ либо научно-технической продукции, содержащей КВОИ  в промышленную эксплуатацию, регистрация КВОИ в научно-технологической сфере прекращается, а владелец КВОИ в трехдневный срок обязан произвести регистрацию по отраслевому принципу в соответствии с постановлением Совета Министров  Республики Беларусь от 30.03.2012 № 293.

В случае, если  научно-техническая продукция, содержащая КВОИ, предназначена для научных исследований, при ее вводе  в промышленную (постоянную) эксплуатацию перерегистрация по отраслевому принципу не требуется.

Типовыми компонентами критически важных объектов информатизации (КВОИ) являются:

- информационные ресурсы с ограниченным доступом, составляющие государственную, служебную, коммерческую тайну и другую конфиденциальную информацию, а также открытую (общедоступную) информацию и знания на бумажной, магнитной, оптической основах; информационные массивы и базы данных; программное обеспечение; информативные физические поля различного характера;

- система формирования, распространения и использования информационных ресурсов, включающая в себя средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения; системы связи; информационные технологии; технические средства сбора, обработки, хранения и передачи информации; архивы; библиотеки, базы и банки данных; средства размножения и отображения информации; вспомогательные технические средства и системы);

- производственно-технический и обслуживающий персонал КВОИ (руководящие работники; администраторы безопасности; администраторы автоматизированных систем; персонал, имеющий непосредственный доступ к управлению безопасностью КВОИ; работники, осведомленные о сведениях, составляющих государственную, служебную, коммерческую тайну или другую конфиденциальную информацию);

- информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;

- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и пр.);

- технические средства и системы охраны и защиты материальных и информационных ресурсов.

Наличие указанных составляющих предопределяет необходимость обеспечения информационной и физической безопасности КВОИ на основе единого методологического подхода к идентификации критически важных сегментов и выбору методов и средств повышения их защищенности.

Информационная безопасность означает обеспечение защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений и поддерживающей инфраструктуры. Информационная безопасность – многогранная область деятельности, в которой к успеху может привести только систематический, комплексный подход, реализуемый на программно-техническом, организационном (процедурном) и физическом уровнях. В полном объеме выполнение всего этого комплекса мероприятий возможно лишь при полномасштабном управлении процессом обеспечения безопасности со стороны высококвалифицированных специалистов при учете всех потенциально уязвимых мест безопасности.

2.Основные факторы, влияющие на состояние информационной безопасности КВОИ

Сложность проблемы защиты КВОИ определяется следующими факторами:

- масштабность, разнородность и высокая связность информационной инфраструктуры как объекта защиты;

- физические и финансовые ограничения одновременного обеспечения защиты всего множества разнородных объектов информационной инфраструктуры;

- невозможность предвидеть и предусмотреть все множество различных угроз нападения на КВОИ, возможные формы, виды и места нанесения атак - это множество включает в себя все, начиная с компьютерных вирусов и кончая физическим воздействием на технику и персонал;

- сложность предвидения и определения источников угроз и атак;

- тесная взаимосвязь с мировой информационной инфраструктурой.

На информационную безопасность КВОИ оказывают непосредственное воздействие целый ряд внешних и внутренних факторов. Наиболее важными из них являются: политические, экономические, правовые, информационные факторы; факторы угроз безопасности, а также факторы обеспечения информационной безопасности.

Под политическими факторами понимаются все способы взаимодействия между государствами в области обеспечения как информационной, так и других видов безопасности.

Экономические факторы – это вопросы, связанные с финансированием действий, направленных на обеспечение требуемого состояния информационной безопасности.

Правовые факторы представляют собой разработку и введение в действие необходимой нормативно-правовой базы.

Под информационными факторами понимаются вопросы предоставления обществу информации, связанной с развитием и деятельностью КВОИ.

Факторы угроз безопасности включают в себя различные угрозы информационной безопасности, а именно:

- действия, осуществляемые авторизованными пользователями;

- методы воздействия, осуществляемые хакерами;

- компьютерные вирусы;

- спам;

- иные непредвиденные обстоятельства.

Факторы обеспечения информационной безопасности включают в себя методы и средства защиты информации.

Все перечисленные факторы оказывают существенное влияние на состояние информационной безопасности КВОИ.

3. Мероприятия по повышению защищенности критически важных объектов

Для повышения защищённости критически важных объектов необходимо проведение следующих мероприятий:

Группа 1. Инженерно-технические мероприятия:

1.1. Строительство защитных и инженерно-технических сооружений.

1.2.  Обновление  и  модернизация  систем  аварийной  защиты  производства.

1.3. Организация и сооружение объездных путей.

1.4. Перевод производства на более безопасное сырье.

1.5. Подготовка резервных  систем  энергоснабжения,  в  т.ч.  автономных.

1.6. Другие  инженерно-технические мероприятия  повышения  защищённости.

Группа 2. Мероприятия  по  совершенствованию охраны:

2.1. Совершенствование физических барьеров и препятствий, систем контроля и управления доступом.

2.2.  Совершенствование  систем  обнаружения  проникновения  нарушителей.

2.3. Совершенствование  систем  телевизионного наблюдения,  технических средств предупреждения и воздействия.

Группа 3.  Финансовое  и  материально-техническое  обеспечение защищенности:

3.1. Создание финансовых и материально-технических резервов.

3.2. Создание  топливно-энергетических  запасов,  продовольствия  и других материально-технических средств.

3.3. Приобретение  специального  аварийно-спасательного,  пожарно-технического и другого оборудования, снаряжения.

3.4. Приобретение  техники,  оборудования  и  имущества  для  обеспечения длительной автономной работы КВО.

Группа 4. Совершенствование системы информатизации и управления:

4.1. Подготовка локальной системы оповещения.

4.2. Приобретение оборудования и средств связи.

4.3.  Заблаговременное  создание  запасных (мобильных)  пунктов управления.

4.4. Создание локальной системы мониторинга.

Группа 5.  Совершенствование  системы  подготовки  по  повышению  защищенности:

5.1. Подготовка персонала.

5.2. Подготовка  аппарата  управления .

5.3. Повышение готовности сил охраны.

5.4. Повышение готовности пожарно-спасательных формирований.

Группа 6. Другие мероприятия по повышению защищенности:

6.1. Модернизация и обновление  основных  производственных фондов.

6.2. Выполнение планово-предупредительных ремонтов.

6.3. Обеспечение персонала средствами индивидуальной защиты.