LogoFullLogoTitlear_Tic_closeic_downloadic_goto_linkic_gridic_mailic_manageric_menuic_phoneic_search
Документы регламентирующие защиту АСУ ТП в КВО/ КСИИ

Документы регламентирующие защиту АСУ ТП в КВО/ КСИИ

Федеральные законы

  • Федеральный закон от 21.11.1995 170-ФЗ Об использовании атомной энергии
  • Федеральный закон от 21.07.1997 116-ФЗ О промышленной безопасности опасных производственных объектов
  • Федеральный закон от 21.07.1997 117-ФЗ О безопасности гидротехнических сооружений
  • Федеральный закон от 09.02.2007 г. 16-ФЗ О транспортной безопасности
  • Федеральный закон от 21.07.2011 г. 256-ФЗ О безопасности объектов топливно-энергетического комплекса
  • Федеральный закон от 21.07.2011 г. 257-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса
  • Федеральный закон от 03.12.2011 г. 382-ФЗ О государственной информационной системе топливно-энергетического комплекса
  • Федеральный закон от 26.07.2017 г. 187-ФЗ О безопасности критической информационной инфраструктуры Российской Федерации

Указы Президента РФ

  • Указ Президента РФ от 12.05.2009 537 О Стратегии национальной безопасности Российской Федерации до 2020 года Основы государственной политики в области обеспечения безопасности населения Российской Федерации и защищенности критически важных и потенциально опасных объектов от угроз природного, техногенного характера и террористических актов на период до 2020 года (утв. Президентом РФ 15.11.2011, Пр-3400)
  • Указ Президента РФ от 15.01.2013 31с О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
  • Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года (утв. Президентом РФ 24.07.2013, Пр-1753)

Постановления правительства

  • Распоряжение Правительства РФ от 27.08.2005 1314-р Об одобрении Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры РФ и опасных грузов
  • Распоряжение правительства Российской Федерации от 23.03.2006 411-рс Об утверждении Перечня критически важных объектов Российской Федерации
  • Постановление Правительства РФ от 21.05.2007 304 О классификации чрезвычайных ситуаций природного и техногенного характера
  • Постановление Правительства РФ от 22.12.2011 1107 О порядке формирования и ведения реестра объектов топливно-энергетического комплекса-Постановление Правительства РФ от 05.05.2012 458 Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса. Для служебного пользования.
  • Постановление Правительства РФ от 05.05.2012 459 Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования
  • Постановление Правительства РФ от 05.05.2012 460 Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса
  • Постановление Правительства Российской Федерации от 02.10.2013 P861 Об утверждении Правил информирования субъектами топливно-энергетического комплекса об угрозах совершения и о совершении актов незаконного вмешательства на объектах топливно-энергетического комплекса

Документы Минэнерго

  • Приказ Министерства энергетики РФ от 13.12.2011 587 Об утверждении перечня работ, непосредственно связанных с обеспечением безопасности объектов топливно-энергетического комплекса
  • Приказ Министерства энергетики РФ от 10.02.2012P48 Об утверждении методических рекомендаций по включению объектов топливно-энергетического комплекса в перечень объектов, подлежащих категорированию-Методические рекомендации по анализу уязвимости производственно-технологического процесса и выявлению критических элементов объекта, оценке социально-экономических последствий совершения на объекте террористического акта, антитеррористической защищенности объекта при проведении категорирования и составления паспорта безопасности объекта топливно-энергетического комплекса (утв. Минэнерго 10.10.2012). Для служебного пользования.

ГОСТы

  • ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения. Для служебного пользования.
  • ГОСТ РО 0043-002-2012 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов (утв. Приказом Росстандарта1-СТ РО от 17.04.2012). Для служебного пользования.
  • ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. Для служебного пользования.
  • ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. Для служебного пользования.

Защита АСУ ТП, документы ФСТЭК

Открытые документы

  • Приказ ФСТЭК России 31 от 14.03.2014 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
  • Информационное сообщение ФСТЭК России от 25.07.2014 240/22/2748 [По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Закрытые документы

  • Руководящий документ Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007). Для служебного пользования.
  • Руководящий документ Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007). Для служебного пользования.
  • Руководящий документ Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007). Для служебного пользования.
  • Руководящий документ Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 19.11.2007). Для служебного пользования.
  • Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации (утв. ФСТЭК России 18.11.2008 246дсп) Для служебного пользования

Ответственность за обеспечение безопасности объектов в ТЭК

  • «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 29.06.2015)
  • Статья 217.1. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса
  1. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса, если это деяние повлекло по неосторожности причинение тяжкого вреда здоровью человека или причинение крупного ущерба, — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на тот же срок с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
  2. То же деяние, повлекшее по неосторожности смерть человека, — наказывается лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
  3. Деяние, предусмотренное частью первой настоящей статьи, повлекшее по неосторожности смерть двух или более лиц, — наказывается лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Группа компаний Structura обладает уникальным опытом в области построения комплексных систем информационной
безопасности (КСИБ).

  • повышение защищенности информационных ресурсов предприятия (компании);
  • построение и приведение процессов управления ИБ в соответствие с требованиями государственных и отраслевых стандартов;
  • контроль защищенности внедряемой информационной системы.

Построение КСИБ предполагает обследование и приведение в соответствие следующих ресурсов компании:

  • информационных потоков;
  • сетевой инфраструктуры;
  • автоматизированных систем.

Внедрение КСИБ обеспечивает непрерывность ведения бизнеса

Практики

  1. Аудит и консалтинг в области ИБ
  2. Аналитические системы ИБ (SIEM, IT GRC, SOC)
  3. Системы идентификации и контроля доступа к ИТ-ресурсам (IAM)
  4. Инфраструктурные решения ИБ

Аудит и консалтинг в области ИБ

Услуги и решения

Практика аудита и консалтинга оказывает следующие услуги:

1. Обеспечение соответствия нормативным требованиям:
152-ФЗ «О персональных данных»
98-ФЗ «О коммерческой тайне»
149-ФЗ «О защите информации»
Приказ ФСТЭК №17 «О защите ГИС»
161-ФЗ «О Национальной платеж системе»
Положение Банка России N 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
СТО БР ИББС-1.0-2014
ISO/IEC 27000, ISO/IEC 27002
ISO 22301:2012 (BCM)
Требования ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ)

Пакеты консалтинговых услуг:
Обоснование и оптимизация расходов на ИБ
Оценка степени достижения целей ИБ и ROSI
Сокращение возможного ущерба от инцидентов ИБ
Совершенствование системы корпоративного управления ИБ (GRC)
Реализация требований ИБ при обеспечении непрерывности бизнес-процессов

Аналитические системы ИБ (SIEM, IT GRC, SOC)

Услуги и решения

Полный спектр услуг по консалтингу, внедрению решений, интеграции и технической поддержке.

  • Системы анализа уязвимостей
  • Системы мониторинга баз данных
  • Системы управления событиями ИБ
  • Системы контроля соответствия техническим требованиям по ИБ
  • Системы анализа уязвимостей: комплексная автоматизация процесса управления уязвимостями
  • Системы управления событиями ИБ, включая услуги по разработке правил корреляции под конкретного клиента
  • Управление инцидентами ИБ
  • Управление проблемами ИБ
  • Управление изменениями
  • Управление конфигурацией ИБ
  • Управление активами ИБ
  • Автоматизация процессов управления ИБ – IT GRC
  • Аутсорсинг

Системы идентификации и контроля доступа к ИТ-ресурсам (IAM)

Услуги и решения

Услуги по внедрению решений для централизации и автоматизации управления учетными записями в информационных системах:

  • Консалтинг по IAM (анализ процессов «as is» и рекомендации «to be», сравнение и выбор наиболее подходящего решения, формирование требований, ТЭО)
  • Аудит процессов управления доступом
  • Построение и автоматизация процессов управления доступом
  • Разработка ролевой модели управления доступом к ИР
  • Внедрение систем класса IAM
  • Системы сквозной однократной аутентификации в приложениях
  • Автоматизация управления доступом к неструктурированным и полуструктурированным данным
  • Системы защиты чувствительной информации в документах

Инфраструктурные решения ИБ

Услуги и решения

Комплексные решения по защите ИТ-инфраструктуры:

  • Защита от утечек и контроль действий пользователей (DLP)
  • Защита данных в виртуальной среде
  • Универсальные шлюзы безопасности (UTM)
  • Сертифицированные СКЗИ
  • Антивирусные системы, защита от АРТ
  • Средства защиты от НСД
  • Многофакторная аутентификация
  • Инфраструктура открытых ключей (PKI)
  • Безопасность общесистемного ПО и сред передачи данных
  • Системы аудита безопасности исходного кода
  • Web Application Firewall (WAF), Data Base Farewall (DBF)
  • Mobile Device Management (MDM), Mobile application management (MAM)
  • Системы контроля действий администраторов и прав пользователей (IT Administrators Control)
  • Инструментальный анализ рисков
  • Проактивный анализ угроз
  • Защита АСУ ТП