КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Этапы работ

Согласно Федеральному закону №187-ФЗ от 26.07.2017г. и приказам ФСТЭК России, субъекту КИИ надлежит выполнить следующие действия:

1. Сформировать комиссию по категорированию объектов КИИ;

2. Сформировать перечень объектов КИИ;

3. Направить перечень объектов КИИ во ФСТЭК;

4. Провести работы по категорированию объектов КИИ;

4.1. Провести экспертно - документальный аудит защищенности объекта КИИ:
      - Инвентаризация процессов в рамках осуществления деятельности;
      - Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);
      - Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
      - Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.

4.2. Провести инструментальный анализ защищенности:
      - Определение активных служб/приложений на сканируемых ресурсах Заказчика;
      - Определение пути прохождения трафика и структуры сети;
      - Идентификация устройств, определение используемых операционных систем;
      - Применение техник обхода межсетевых экранов;
      - Поиск уязвимостей в конфигурациях коммутационного оборудования.

4.3. Определить актуальные угрозы безопасности информации с разработкой моделей угроз безопасности информации:
      - Оценка возможностей внешних и внутренних нарушителей;
      - Анализ возможных уязвимостей и реализованных мер защиты;
      - Анализ возможных способов реализации угроз безопасности информации;
      - Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.

4.4. Провести на основе полученных данных категорирование объектов КИИ:
      - Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
      - Подготовка акта категорирования;
      - Подготовка формы направления сведений об объектах КИИ;
      - Направление формы направления сведений об объектах КИИ во ФСТЭК;
      - Согласование формы направления сведений об объектах КИИ со ФСТЭК.

5. Провести оценку соответствия мер по обеспечению ИБ объектов КИИ требованиям нормативно-методических и правовых документов:
      - Анализ используемых средств защиты;
      - Формирование адаптированного базового набора мер, на основании актуальных угроз;
      - Обоснование необходимости создания или модернизации существующей системы защиты.

6. Проектирование и внедрение системы защиты:
      - Разработка технического задания;
      - Разработка документации технического проекта;
      - Стендовые испытания и пилотирование;
      - Внедрение средств защиты, их настройка и интеграция.

7. Разработка и внедрение единых требований к обеспечению безопасности: 
      - Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов; 
      - Внедрение организационных мер по обеспечению безопасности.

8. Опытная эксплуатация системы защиты
Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам

9. Приемочные испытания
      - Инструментальный анализ, включая тесты на проникновение;
      - Выявление уязвимостей значимого объекта и принятие мер по их устранению.

10. Обеспечение безопасности значимого объекта в ходе его эксплуатации:
      - Планирование мероприятий по обеспечению безопасности значимого объекта;
      - Периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;
      - Управление (администрирование) подсистемой безопасности значимого объекта;
      - Управление конфигурацией значимого объекта и его подсистемой безопасности;
      - Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
      - Обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;
      - Информирование и обучение персонала значимого объекта;
      - Контроль за обеспечением уровня безопасности значимого объекта.

 

 

 

 

Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс

Поделиться: