Администратор скзи

Классификатор строительных ресурсов

Классификатор строительных ресурсов (КСР) — это систематизированный перечень, позволяющий по определенным кодам классифицировать строительные ресурсы (материалы, оборудование, машины и механизмы).

Структура и принципы построения КСР соответствуют общим методологическим принципам построения общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034-2014 (КПЕС 2008), принятым и введенным в действие приказом Федерального агентства по техническому регулированию и метрологии от 31.01.2014 N14-ст.

Структура кода, принятого в классификаторе строительных ресурсов, содержит переходные ключи между гармонизированными классификаторами, позволяющие в автоматизированном режиме осуществлять обмен, синхронизацию, сопоставление и анализ информации получаемой различными ведомствами и организациями, включая международные системы классификации.

Цель КСР

Классификатор строительных ресурсов разработан с целью унификации, автоматизации расчетов стоимости строительства, реконструкции, капитального ремонта объектов капитального строительства с применением прикладных программных продуктов, как для сметных расчетов так и для работы с информационными моделями.

Структура КСР

В соответствии с классификатором, будет организована и структура библиотеки информационных ресурсов BIMLIB в дополнение к уже существующим разделам, категориям и подкатегориям. Проектировщики смогут выбрать материал, конструкции или оборудование из нескольких альтернативных вариантов, сопоставлять и анализировать информацию.

Мониторинг цен и информационная поддержка

КСР является основой для осуществления мониторинга цен строительных ресурсов. Иерархический метод классификации и последовательный метод кодирования предназначен для обеспечения информационной поддержки задач мониторинга.

Функции и возможности КСР

Классификатор строительных ресурсов служит основой для:

• Поиска по классификатору в информационной системе
• Организации и структуры библиотеки информационных ресурсов BIMLIB

Подсистема ФГИС ЦС Классификатор строительных ресурсов

Подсистема ФГИС ЦС Классификатор строительных ресурсов состоит из следующих разделов.

Обновления и актуализация

Установлено, что обновляться классификатор строительных ресурсов будет один раз в квартал. В рамках актуализации классификатора осуществлено либо запланировано.

Проверка соответствия нормативно-технической документации

Главгосэкспертиза России рассматривает позиции классификатора на предмет их соответствия действующей нормативно-технической документации, в том числе техническим регламентам и документам, применяемым в национальной системе стандартизации.

Получение информации

По запросу с перечнем ОКВЭД2 получена информация от Росстата, ФТС России, Росморречфлота, Росавиации и ФАС России.

Заключение

Классификатор строительных ресурсов играет важную роль в унификации и автоматизации процессов строительства, а также служит базой для мониторинга цен на строительные ресурсы. С его помощью можно проводить сметные расчеты, выбирать оптимальные материалы и оборудование, а также осуществлять информационную поддержку процессов проектирования и строительства.

Развитие информационной системы ценообразования в строительной отрасли России

На первом этапе разработку информационной системы вел Федеральный центр ценообразования в строительстве и промышленности строительных материалов (ФАУ ФЦЦС). По поручению главы Минстроя России в конце 2016 года ФАУ ФЦЦС объединилось с ФАУ Главгосэкспертиза России, которое и приняло функции по обеспечению работы ФГИС ЦС.

Специалистами ведомства производится мониторинг и расчет цен на строительные материалы, рассмотрение технических решений, которые есть в проектной документации, а также проверка достоверности определения сметной стоимости.

Разработка системы информационного анализа

Договор на разработку информационно-аналитической системы исполнило АО БАРС Груп.
На данный момент, при взаимодействии с участниками рынка, Главгосэкспертиза России формирует актуальный перечень юридических лиц и производителей строительных материалов, которые обязуются предоставлять необходимую информацию для единой базы данных цен ФГИС ЦС.

Электронная форма взаимодействия

Для создания эффективной системы технического регулирования, Главгосэкспертиза России и организации государственной экспертизы перешли к электронной форме взаимодействия с проектировщиками. Это не только оптимизирует временные и финансовые затраты участников строительства, но и минимизирует прямые контакты заказчика с экспертами, упрощает контроль за деятельностью экспертных органов, а также повлияет на формирование единого комплекса нормативных документов в области техрегулирования.

Мероприятия для совершенствования системы ценообразования

В рамках мероприятий по совершенствованию системы ценообразования и сметного нормирования регулярно проводятся семинары и совещания под председательством глав и заместителей глав ведомств строительного комплекса, где обсуждается процесс формирования сметной стоимости – от получения необходимых данных из ФГИС ЦС до получения положительного заключения экспертизы и перехода к реализации строительных проектов.

При подготовке описания информационной системы использовались материалы сайтов: fgiscs.minstroyrf.ru, gge.ru, mos.ru, rg.ru.

Незнание не освобождает от ответственности

Согласно закону № 187-ФЗ, принадлежность к субъектам КИИ определяется следующими признаками: использование государственных информационных систем, телеком-сетей, АСУ ТП на правах собственности, аренды или ином законном основании, а также принадлежность компании хотя бы к одной из указанных отраслей экономики.

Несмотря на всю определённость формулировки, многие компании до сих пор не относят себя к субъектам КИИ. Это отмечают ФСТЭК России и представители ИБ-вендоров.

Организации столкнулись с трудностями при исполнении закона

По мнению Анастасии Фёдоровой, организациям часто бывает трудно разобраться в юридическом языке закона. В практике бывали даже такие случаи, когда бизнесу приходилось доказывать, что он обладает объектами КИИ. Кроме того, расхождения в оценке часто возникают из-за масштабов компаний.

Распространение закона

Руководители многих предприятий малого бизнеса считают, что действие закона № 187-ФЗ распространяется только на крупные и средние компании, а также на государственные органы и учреждения. На самом же деле под его действие подпадают даже индивидуальные предприниматели.

Этапы исполнения требований закона

Первый этап исполнения требований закона включает в себя категорирование объектов КИИ. И уже он вызывает множество вопросов, особенно когда затрагивает территориально распределённые компании. Как отметил Андрей Заикин, специалисты К2 Кибербезопасности при выполнении работ по категорированию и аудиту часто выясняют, что самостоятельно в компании насчитали только три объекта КИИ, а по факту их оказалось двадцать три.

Разработка системы безопасности

Подготовленный специально созданной комиссией документ с перечнем объектов КИИ (а затем и с результатами категорирования) направляется во ФСТЭК России. После этого компания должна разработать систему безопасности, отвечающую определённым требованиям, которая позволит защитить объекты КИИ от кибератак. При этом 24 % респондентов признались, что ещё не понимают, какие решения понадобятся им для реализации требований закона.

Проверки соответствия закону

ФСТЭК России как надзорный орган в дальнейшем организует плановые (каждые три года) и внеплановые проверки на выполнение требований закона силами уполномоченных компаний. Соответствующий процесс уже запущен. Об этом рассказала Анна Христолюбова, эксперт отраслевого центра компетенций по ИБ в промышленности. Она сообщила, что их организация уже имеет список из более чем 1000 компаний, в которых планируется провести проверки на исполнение требований 187-ФЗ в ближайшее время.

Проблемы при проверке

Анна Христолюбова также перечислила наиболее распространённые проблемы, с которыми сталкиваются проверочные комиссии при изучении отчётов о категорировании.

Контакты

Контакты ввод рыночных принципов ценообразования вызывает особый интерес в профессиональных сообществах строительной индустрии России. В рамках реформы ценообразования, Минстроем России решено осуществить переход на ресурсный метод сметных расчетов, принятый в международной практике, и обеспечить единый мониторинг цен строительных ресурсов во всех субъектах страны, учитывающего региональные особенности.

Мониторинг рыночных цен

Мониторинг рыночных цен нужен для определения достоверной стоимости строительных материалов, технических и трудовых ресурсов. Федеральный контроль устанавливается не для регулирования цен на рынке, а для определения объективной стоимости строительной продукции. Достоверная цена стройматериалов — ключевое звено в решении новых задач, поставленных Правительством России. Полученные, по результатам мониторинга, сметные цены будут применяться для расчета начальной (стартовой) стоимости всех объектов капитального строительства, финансируемого из бюджета страны.

Всероссийский охват мониторинга очень важен для видения единой картины рынка строительных материалов и ресурсов; его регулярность и максимальная детализированность станет основой оптимального использования бюджетных средств.

Информация о ценах будет полезна не только для государственных заказчиков, но и для строительных компаний, физических лиц. Строительные компании, работающие в системе государственного заказа, должны будут отказаться от услуг поставщиков-посредников.

Ценность мониторинга

Главная задача и идея мониторинга заключается в удобном и оперативном предоставлении актуальных сметных цен по каждому конкретному региону от производителя, а не от посредника, как заведено прежде.

Подсистема Мониторинга цен строительных ресурсов позволит

• АИС – автоматизированная информационная система.
• ИБ – информационная безопасность.
• СОИБ – система обеспечения информационной безопасности.
• НСД – несанкционированный доступ.
• ОСОИБ – ответственный сотрудник по обеспечению информационной безопасности.
• ПО – программное обеспечение.
• СКЗИ – средства криптографической защиты информации.
• СУБД – система управления базами данных.

Термины

Основные термины определены в документе Политика информационной безопасности ООО _______. Термины и определения по информационной безопасности.

Управление рисками ИБ

Угрозы ИБ влияют на операционные риски Компании, связанные с несовершенной организацией или ненадлежащей реализацией бизнес-процессов. Для обеспечения приемлемого уровня рисков ИБ принимаются меры по защите ИС Компании. Разработка экономически обоснованных мер по совершенствованию обеспечения ИБ Компании осуществляется на основе оценки рисков ИБ. При обработке рисков ИБ принимаются решения по их оптимизации за счет реализации мер защиты, переноса, отказа или принятия остаточных рисков. Оценка и обработка рисков ИБ осуществляется в соответствии с документом Политика информационной безопасности ООО _______. Методика оценки рисков информационной безопасности.

Функциональные возможности X-Control

В X-Control есть возможность вести справочники в веб-интерфейсе. Они содержат полезные данные для выполнения операций в системе.

Таблица 3. Описание справочников
| Структура органов криптозащиты | Предназначен для описания схемы ОКЗ с учётом координирующих и нижестоящих СКЗИ, а также обслуживаемых ОКИ |

Организации (Обладатели конфиденциальной информации)Предназначен для создания организаций (в том числе ИП). Для выбранной организации можно добавить любой ОКЗ в качестве координирующего.Координирующий ОКЗ может передавать для организации-клиента экземпляры СКЗИ, ключевые документы и ключевые носители, а также распространять экземпляры СКЗИ. Передача невозможна, если нет связи между обслуживаемой организацией и ОКЗ

Добавление обучающих курсов для дальнейшего их назначения пользователям СКЗИ

В справочник добавлены базовые типы СКЗИ (программный, программно-аппаратный, аппаратный). Данный справочник доступен только для чтения

Типы ключевых носителейВ справочник добавлены базовые типы ключевых носителей, являющиеся системными и доступные только для чтения. К системным относятся следующие типы ключевых носителей:eToken;JaCarta;microSD-карта;SIM-карта;USB-токен;гибридное устройство;ключевой блокнот;модуль безопасности (SIM- и microSD-карты, чипы для монтажа на печатные платы);ОТР-токен;«Рутокен»;смарт-карта;чип

Элементы комплекта СКЗИПредназначен для обозначения типов объектов, входящих в комплект поставки СКЗИ. В справочнике представлены базовые типы объектов, являющиеся системными и доступные только для чтения. К системным относятся следующие типы объектов:дистрибутив;инструкция;ключевой документ;ключевой носитель;оборудование;паспорт;правила использования;руководство администратора;сертификат соответствия;формуляр

Предназначен для обозначения текущего статуса экземпляра СКЗИ. В справочнике представлены базовые статусы экземпляров, являющиеся системными и доступные только для чтения. К системным относятся следующие статусы экземпляров:возвращён;выдан пользователю;готов к выдаче;зарегистрирован;изъят;используется;передан в ОКЗ;передан ОКИ;уничтожен

Ведение реестра СКЗИ

Реестр содержит все зарегистрированные в системе СКЗИ. При добавлении записей обязательно нужно указать наименование и тип СКЗИ, производитель выбирается из выпадающего списка. Далее к СКЗИ добавляются одна или несколько используемых версий.

Рисунок 4. Форма добавления СКЗИ

Для каждой версии СКЗИ необходимо добавить сведения о её сборке / модификации (эксплуатационную и техническую документацию, дистрибутив).

В X-Control есть эталонный справочник, в который входят наиболее популярные СКЗИ. Для СКЗИ из справочника в составе комплекта сборки уже имеется эксплуатационная и техническая документация, это избавляет пользователя системы от необходимости загружать её самостоятельно.

При загрузке дистрибутива можно произвести проверку контрольной суммы файла. Для этого необходимо ввести контрольную сумму, предоставленную производителем, которую система сравнивает с загруженным дистрибутивом.

Рисунок 5. Сведения о сборке / модификации версии СКЗИ

Все действия, связанные с редактированием СКЗИ, регистрируются в системе и доступны к просмотру на вкладке «История».

Рисунок 6. История изменений СКЗИ

Ведение экземпляров СКЗИ

Экземпляр СКЗИ — это основной объект, с которым работает пользователь в системе.

Каждое СКЗИ является шаблоном для последующего создания экземпляра СКЗИ. Экземпляр наследует свойства того СКЗИ, на основе которого создаётся. Удалить можно только то СКЗИ, у которого нет зарегистрированных экземпляров в системе.

Рисунок 7. Зарегистрированные СКЗИ для ОКЗ и ОКИ

Зарегистрировать экземпляр СКЗИ может только пользователь с ролью «Сотрудник ОКЗ», «Руководитель ОКЗ» или «Администратор системы». Зарегистрировать экземпляр СКЗИ можно как в журнале ОКЗ, так и в журнале ОКИ.

Рисунок 8. Форма регистрации экземпляра СКЗИ

Для программных СКЗИ доступно создание эталонного экземпляра, который можно распространять в нижестоящие ОКЗ по количеству лицензий. Лицензии, которые связаны с эталонным экземпляром, будут наследовать созданные копии. Когда использовано более 90 % лицензий, система уведомляет об этом администратора.

Лицензии для эталонного экземпляра СКЗИ можно загрузить из файла, созданного по предоставленному системой шаблону.

Рисунок 9. Пример заполненного шаблона файла

Все распознанные лицензии будут добавлены к указанному СКЗИ.

Рисунок 10. Загрузка лицензий из файла

Лицензии можно также добавлять вручную.

Аналогичным образом можно осуществить загрузку экземпляров СКЗИ, ключевых документов, ключевых носителей и лицевых счетов.

Если на АРМ пользователя установлен агент X-Control, то информация об установленных СКЗИ и активированных лицензиях попадает в систему автоматически.

Ведение ключевых документов

Ключевой документ — это ключевая информация, записанная на ключевом носителе.

Зарегистрировать ключевой документ можно в журнале ОКЗ или ОКИ.

Рисунок 11. Форма регистрации ключевого документа

Регистрация ключевого носителя производится только в ОКЗ (затем он может быть передан в нижестоящий ОКЗ или ОКИ). При добавлении носителя нужно указать его тип, серийный и заводской номер.

Рисунок 12. Форма регистрации ключевого носителя

В системе есть возможность указать, на какой носитель записан ключевой документ. Это можно сделать как из карточки ключевого документа, так и из карточки носителя.

При создании связи «документ — носитель» открывается окно со списком доступных носителей. После выбора носителя он отображается в карточке ключевого документа, а ключевой документ — в карточке носителя.

Если запись документа осуществляется на уже выданный пользователю носитель, то ему автоматически будет выдан ключевой документ. Это действие будет отображено во всех соответствующих журналах.

Рисунок 13. Выбор носителя для записи ключевого документа

В X-Control 2.0 есть возможность собирать информацию с токенов JaCarta (носитель и ключевая информация на нём регистрируются автоматически). В следующем релизе планируется добавить такую функциональность для Рутокен с возможностью смены пин-кода.

Система контролирует сроки действия ключей и сертификатов, отправляет уведомления ответственным сотрудникам в случае если срок действия подходит к концу. В том числе и сроки легитимности машиночитаемых доверенностей (МЧД).

В ближайших релизах планируется реализовать автоматический учет dst ключей.

Ведение лицевых счетов пользователей

Для каждого пользователя ОКЗ ведёт лицевой счёт, где регистрирует числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы. В системе X-Control предусмотрена возможность создания счёта как в ручном режиме, так и автоматически.

Лицевой счёт пользователя создаётся автоматически в двух случаях:

Рисунок 14. Форма для создания УЗ пользователя и форма создания лицевого счёта

Лицевые счета всех пользователей отображаются в одноимённом разделе. Активация лицевого счёта осуществляется автоматически при выдаче экземпляра СКЗИ, ключевого документа или ключевого носителя. Можно также активировать счёт в ручном режиме, на странице списка лицевых счетов либо в карточке счёта.

Рисунок 15. Активация лицевого счёта

В карточке лицевого счёта можно посмотреть информацию по выданным пользователю экземплярам СКЗИ, ключевым документам и ключевым носителям.

Рисунок 16. Просмотр информации на вкладках в карточке пользователя

Всю информацию о лицевом счёте пользователя можно выгрузить в Excel.

Рисунок 17. Сформированный отчёт о лицевом счёте пользователя СКЗИ

Допуск пользователей к работе с СКЗИ

Пользователи допускаются к работе с СКЗИ только после прохождения обучения. Заключение о допуске к самостоятельной работе с СКЗИ выдаётся комиссией соответствующего ОКЗ.

В системе предусмотрен справочник обучающих курсов. Добавить или удалить обучающий курс может только администратор системы. Необходимые для прохождения обучения материалы добавляются при создании курса.

Рисунок 18. Справочник обучающих курсов и карточка курса

Назначить курс обучения пользователю можно на вкладке «Допуск к СКЗИ» в карточке лицевого счёта. При добавлении обучения необходимо выбрать версию СКЗИ, для которой необходимо получить допуск.

Рисунок 19. Назначение курса обучения пользователю

После того как пользователю будет назначен курс обучения, ему на почту придёт письмо о добавлении обучающих курсов по СКЗИ.

Рисунок 20. Почтовое уведомление о назначении курсов по СКЗИ

Рисунок 21. Создание запроса на сдачу экзамена

После сдачи экзамена в карточку лицевого счёта пользователя на вкладке «Допуск к СКЗИ» нужно добавить заключение о прохождении курса. При заполнении формы требуется указать версию СКЗИ, допуск к которой оформляется, а также номер и дату выдачи заключения о прохождении обучения.

Рисунок 22. Форма добавления заключения о допуске

Членами комиссии могут выступать администратор системы, руководитель или сотрудник ОКЗ. Все доступные для добавления в состав комиссии лица отображаются в окне выбора участников.

Рисунок 23. Выбор членов комиссии

Все участники получают уведомление по электронной почте о включении в состав комиссии. После подписания допуска всеми участниками (для членов комиссии доступна кнопка «Подписать» в панели инструментов) пользователь получает уведомление по электронной почте о предоставлении ему допуска к СКЗИ.

Составление заключения об эксплуатации СКЗИ

Заключение о возможности эксплуатации СКЗИ формируется после выдачи экземпляра СКЗИ пользователю и его установки (ввода в действие).

При добавлении заключения об эксплуатации СКЗИ необходимо указать номер заключения, исполнителя, номер АРМ пользователя, номер печати или пломбы устройства, на котором установлено СКЗИ, и дату удаления дистрибутива с АРМ.

Рисунок 24. Форма добавления заключения об эксплуатации СКЗИ

Если установка СКЗИ выполняется сотрудником ОКЗ, то заключение об эксплуатации заводится в системе автоматически. Для пользователя, который устанавливает СКЗИ самостоятельно, заключение об эксплуатации должно быть добавлено сотрудником ОКЗ.

Акты уничтожения

Уничтожение большого объёма ключевых документов может быть оформлено актом. В системе также предусмотрены акты уничтожения для ключевых носителей и для экземпляров СКЗИ.

При добавлении ключевого носителя, на котором записаны ключевые документы, они автоматически добавляются вместе с ключевым носителем, а при добавлении ключевого документа происходит автоматическое добавление связанного с ним ключевого носителя, если он является разовым.

Рисунок 25. Форма создания акта об уничтожении

При закрытии лицевого счёта пользователя акт уничтожения формируется автоматически.

Журналы учёта

Рисунок 26. Пример выгруженного журнала поэкземплярного учёта СКЗИ для ОКИ

Интеграция с УЦ «КриптоПро»

В системе есть возможность интеграции с УЦ «КриптоПро». При интеграции с УЦ информация о выпущенных для пользователя сертификатах обновляется автоматически. Запрос на выпуск сертификата регистрируется в X-Control и передаётся в УЦ. Создать запрос может любой пользователь.

Рисунок 27. Запрос на сертификат

После выпуска сертификата X-Control получает из УЦ «КриптоПро» данные запроса на выпуск сертификата и данные пользователя. Далее X-Control осуществляет поиск лицевого счёта и ключевого документа по переданным данным.

Если лицевой счёт не найден, в X-Control создаётся новый лицевой счёт и ключевой документ, который автоматически выдаётся пользователю СКЗИ. После этого с найденным (или созданным) ключевым документом выполняется мероприятие «Ввод в действие».

Когда X-Control получает информацию об отзыве сертификата, для ключевого документа выполняется мероприятие «Изъятие».

SpaceBit планирует расширять перечень интеграций с продуктами КриптоПро, в том числе релизе 2.1 будет включать в себя интеграцию с КриптоПро DSS. Кроме этого в продукте планируются интеграции с коммерческими УЦ, например, c УЦ Контур.

Выставка

В рамках мероприятия состоится выставка ИБ-хозяйства, которая соберет лучшие умы и разработки отечественной кибербезопасности. На стендах экспонентов можно проконсультироваться со специалистами, ознакомиться с демо-версиями продуктов и подобрать ПО для конкретных бизнес-задач. Подробнее

Сертификат соответствия ФСБ России № СФ/124-4778 на ПК ViPNet Client 4

05 марта 2024

28 февраля 2026

Сертификат соответствия ФСБ России № СФ/124-4778 от 05.03.2024 удостоверяет, что программный комплекс ViPNet Client 4 (версия 4.5) (исполнения 1, 2, 3) в комплектации согласно формуляру ФРКЕ.00116-05 30 01 ФО соответствует требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3 для исполнения 1, 2, 3, соответственно. Требования к средствам электронной подписи утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для классов КС1, КС2, КС3 для исполнения 1, 2, 3, соответственно, и может использоваться для криптографической защиты (создание и управление ключевой информации, шифрование файлов и данных, содержащихся в областях оперативной памяти, и IP-трафика, вычисление имитовставки для файлов и данных, содержащихся в области оперативной памяти, и IP-трафика, вычисление значения хэш-функции для файлов и данных, содержащихся в области оперативной памяти, создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.

Ребования по обеспечению ИБ при управлении доступом и регистрацией

Порядок управления доступом к различным видам информационных активов должен быть регламентирован. Регламент управления доступом должен включать, в том числе, описание информационных активов, уровней предоставляемого доступа и определять процедуры управления доступом.

Процедуры управления доступом должны:

– предусматривать предоставление пользователям минимально необходимых для выполнения их должностных обязанностей прав доступа к информационным активам;

– обеспечивать изменение прав доступа пользователей при изменении их должностных обязанностей;

– исключать возможность неконтролируемого предоставления прав доступа;

– определять порядок действий в случае компрометации используемых для получения доступа реквизитов.

Для управления доступом могут использоваться встроенные в АИС, сертифицированные установленным образом или разрешенные к применению Департаментом безопасности Компании средства.

Доступ к информационным активам Компании должен предоставляется только зарегистрированным пользователям с использованием средств идентификации, аутентификации и авторизации. Учётная запись должна однозначно идентифицировать пользователя и определять его права по доступу к информационным активам.

Данные регистрации о предоставлении доступа и использовании АИС должны регулярно контролироваться и анализироваться с целью обнаружения неправомерных действий.

АИС и все её компоненты должны обеспечивать, в том числе, возможность регистрации операций, связанных с назначением и распределением прав доступа, с изменением регистрационных данных, а также финансовых транзакций.

Компоненты АИС должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства производимых операций.

В договоры с клиентами и контрагентами, в случае необходимости, следует включать положения, предусматривающие необходимый уровень взаимодействия в случае возникновения инцидентов ИБ, требующих совместного реагирования.

Ребования по обеспечению ИБ при использовании СКЗИ

Средства криптографической защиты информации (СКЗИ) могут применяться для обеспечения целостности, конфиденциальности, отказоустойчивости и других свойств ИБ в соответствии с моделью угроз и нарушителей ИБ.

Применяемые СКЗИ должны быть сертифицированы установленным образом, или разрешены к применению в Компании в установленном порядке, или соответствовать требованиям договора с контрагентом (клиентом) Компании.

При применении СКЗИ в ИС должна поддерживаться непрерывность протоколирования работы СКЗИ, а также целостность программного обеспечения, взаимодействующего со СКЗИ.

Порядок применения СКЗИ, включая процессы ввода в действие, внесения изменений, эксплуатации, восстановления работоспособности после сбоев, снятия с эксплуатации, управления ключами, использования носителей ключевой информации включая действия при смене и компрометации ключей, должен быть регламентирован.

Ключи СКЗИ должны изготавливаться Компанией или их владельцами самостоятельно. В случае изготовления ключей сторонними организациями или лицами, организационные и правовые последствия таких действий должны быть отражены в соответствующих договорах.

Жизненный цикл СКЗИ

Экземпляры СКЗИ, ключевые документы и ключевые носители проходят определённый жизненный цикл:

Действия, выполняемые с СКЗИ, должны быть заверены пользователем, сотрудником ОКЗ или комиссией. При большом количестве пользователей, особенно в территориально распределённой организации, выполнение требований регуляторов приводит к немалым трудозатратам. В системе предусмотрена возможность работы каждого подразделения территориально распределённой компании и поддерживается ролевое разграничение прав на основе её организационной структуры. В зависимости от роли пользователя ему могут быть доступны данные только своего филиала, нижестоящих или всех.

Рисунок 2. Жизненный цикл СКЗИ в территориально распределённой организации

Для подписания документов в системе могут использоваться различные виды электронной цифровой подписи (ЭЦП) в зависимости от потребностей: простая, усиленная неквалифицированная или усиленная квалифицированная.

Некоторые действия могут подтвердить только пользователи с определённой ролью. В системе предусмотрены следующие роли:

Для ролей «Администратор», «Руководитель ОКЗ», «Сотрудник ОКЗ» и «Руководитель ОКИ» доступна сводная информация по экземплярам СКЗИ, ключевым документам и носителям, лицензиям и прочему.

Рисунок 3. Панель мониторинга (дашборд) на главной странице X-Control

Добро пожаловать на встречу профессионалов киберсообщества всея Руси! Регистрация на мероприятие «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2024» уже открыта!

Классификация информационных ресурсов по уровню конфиденциальности, содержащейся в них информации, осуществляется в соответствии с требованиями Положения о служебной и коммерческой тайне (далее Положение о СКТ), Положения о работе с персональными данными в Компании и Инструкции по делопроизводству.

Вся информация, используемая в Компании, относится по уровню конфиденциальности к одной из 2-х категорий:

К открытой информации относятся:

– сведения, полученные из внешних открытых источников;

– сведения, явно определённые в установленном Положением о СКТ порядке в качестве открытой информации для публикации или предоставления внешним организациям.

Открытая информация может неограниченно распространяться как внутри, так и вне Компании. Требования по обеспечению ИБ открытой информации включают обеспечение целостности, доступности и дополнительных свойств ИБ в случае необходимости.

К конфиденциальной информации относятся:

– сведения, содержащие служебную и коммерческую тайну в соответствии с Положением о СКТ;

– персональные данные, относящиеся к конфиденциальным в соответствии Положением о работе с персональными данными в Компании;

– сведения, имеющие гриф "конфиденциально", «служебная информация».

Порядок обеспечения сохранности конфиденциальной информации определяется Положением о СКТ и Инструкцией по делопроизводству.

Требования по обеспечению ИБ конфиденциальной информации включают обеспечение конфиденциальности, целостности, доступности и дополнительных свойств ИБ в случае необходимости.

Организация деятельности по обеспечению ИБ

Деятельность структурных подразделений и отдельных должностных лиц по защите информационных активов организуется и координируется СОИБ. В функционировании СОИБ принимают участие:

– Руководитель по информационным технологиям Компании;

– ответственный сотрудник по обеспечению ИБ (ОСОИБ);

– структурные подразделения Компании;

– персонал Компании.

Департамент безопасности Компании осуществляет общее руководство и контроль обеспечения ИБ. Для текущего управления деятельностью по обеспечению ИБ, в региональных представительствах Компании, Департамент безопасности назначает ответственного сотрудника по обеспечению ИБ (ОСОИБ), утверждает нормативные документы и планы по совершенствованию ИБ, выделяет ресурсы на обеспечение ИБ, контролирует состояние ИБ Компании.

ОСОИБ осуществляет планирование, организацию, совершенствование и контроль деятельности по обеспечению ИБ, а также несёт ответственность за состояние ИБ Компании.

Выполнение обязанностей ОСОИБ может совмещаться с выполнением иных функциональных обязанностей, исключая виды деятельности, приводящие к возникновению конфликта интересов.

В функциональные обязанности ОСОИБ входит:

– организация, планирование и контроль выполнения мероприятий по обеспечению ИБ;

– участие в формировании заявки о планируемых доходах и расходах ИТ в части расходов по обеспечению ИБ;

– подготовка предложений по разработке и совершенствованию нормативной документации по обеспечению ИБ;

– выработка требований к реализации мер обеспечения ИБ;

– участие в проверке уровня защищённости информационных активов, систем и бизнес- процессов Компании, подготовка предложений по предотвращению нарушений ИБ;

– участие в рассмотрении инцидентов ИБ, подготовка предложений по применению санкций в отношении нарушителей режима обеспечения ИБ;

– участие в подготовке документации и проведении работ по созданию и модификации ИС на стадиях жизненного цикла;

– взаимодействие, в случае необходимости, с организациями и уполномоченными органами страны местопребывания Компании по вопросам, относящимся обеспечению ИБ и лицензированию деятельности по защите информации;

– инструктаж и консультирование персонала Компании по вопросам обеспечения ИБ.

– ОСОИБ вправе:

– получать от структурных подразделений информацию, необходимую для выполнения своих функций;

– вносить мотивированные предложения Департаменту безопасности об ограничении или приостановке функционирования АИС или бизнес-процессов в случае возникновения угроз ИБ деятельности Компании.

Структурные подразделения осуществляют деятельность по обеспечению ИБ в объёме возложенных на них задач и функций.

– участвует в разработке нормативно-технической документации по обеспечению ИБ процессов автоматизированной обработки и передачи информации;

– реализует технические меры по обеспечению ИБ в АИС в соответствии с требованиями нормативных документов по обеспечению ИБ;

– осуществляет мониторинг защищённости АИС, выявление и пресечение попыток реализации угроз нарушения ИБ;

– осуществляет администрирование ряда средств обеспечения ИБ АИС в соответствии с требованиями нормативных документов;

– осуществляет резервирование и восстановление информационных ресурсов, обрабатываемых в электронном виде;

– обеспечивает непрерывность функционирования и восстановление после сбоев АИС Компании.

– разрабатывает и реализует правовые меры обеспечения ИБ;

– осуществляет мониторинг соответствия внутренних нормативных актов Компании законодательству стран присутствия Компании, относящегося к вопросам обеспечения ИБ;

– контролирует правильность оформления договорных отношений Компании с персоналом, клиентами и контрагентами Компании на соответствие требованиям законодательства и нормативных документов Компании по обеспечению ИБ.

Обязанность по обеспечению ИБ в соответствии с нормативной документацией ИБ должна быть включена в должностные регламенты персонала Компании. Персонал Компании выполняет требования по обеспечению ИБ в рамках исполнения своих должностных обязанностей. Руководители всех уровней организуют работу по обеспечению ИБ в подконтрольных им подразделениях.

Нарушение требований по обеспечению ИБ рассматривается как ненадлежащее исполнение должностных обязанностей. Виновные подлежат ответственности в установленном порядке.

Кадровое обеспечение ИБ

В рамках кадрового обеспечения ИБ в Компании должен быть организован процесс повышения осведомленности и контроля знаний персонала по вопросам ИБ.

Квалификация персонала в области ИБ должна соответствовать требованиям, предъявляемым к безопасности информационных активов, необходимых для исполнения возложенных функциональных обязанностей.

Формой повышения осведомлённости и контроля знаний персонала в области ИБ может являться инструктаж, осуществляемый уполномоченными лицами Компании, посещение авторизованных курсов повышения квалификации, использование методов дистанционного обучения.

Оследствия реализации угроз ИБ

Реализация угрозы ИБ может привести к нарушению свойств ИБ. В результате нарушения конфиденциальности информационных активов защищаемая информация может стать известной неполномочным лицам, логическим объектам или процессам. Нарушение целостности информационных активов может привести к несанкционированному изменению информации, а нарушение доступности может нарушить доступ полномочных пользователей к информации.

В результате реализации угроз ИБ Компании может быть нанесён ущерб, который может быть обусловлен:

– частичной или полной невозможностью продолжения деятельности;

– необходимостью восстановления нарушенных свойств ИБ защищаемых информационных активов;

– частичной или полной невозможностью выполнения обязательств перед клиентами, контрагентами и другими сторонами;

– нарушением требований законодательства, надзорных и регулирующих органов;

– потерей деловой репутации.

Ребования по обеспечению ИБ на стадиях жизненного цикла ИС

Формирование требований по обеспечению ИБ осуществляется для следующих обобщенных стадий жизненного цикла ИС:

– разработка технического задания;

– создание и тестирование;

– приемка и ввод в действие;

– сопровождение и модернизация;

– снятие с эксплуатации.

В зависимости от объёма и метода выполнения работ (собственная или заказная разработка, приобретение и др.) допускается опускать или объединять отдельные стадии.

Разработка технических заданий и приёмка ИС должна осуществляться по согласованию, а ввод в действие, эксплуатация, сопровождение, модернизация и снятие с эксплуатации под контролем уполномоченного лица по ИБ.

Привлекаемые на договорной основе для разработки средств защиты информации специализированные организации должны иметь выданные в установленном порядке лицензии на осуществление данного вида деятельности.

В договоры на разработку или поставку ИС должны включаться положения по сопровождению поставляемых изделий в течение всего срока службы или поставке технических средств и документации, позволяющих осуществлять сопровождение и эксплуатацию ИС без участия поставщика.

При разработке технических заданий на системы АИС следует учитывать, что защита данных должна обеспечиваться в условиях:

– попыток доступа к информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;

– возможности ошибок авторизованных пользователей систем;

– возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.

На стадии сопровождения (модернизации) необходимо обеспечить защиту от неумышленного или умышленного несанкционированного раскрытия, модификации или уничтожения информации, а также от отказа в обслуживании или снижения качества обслуживания.

Создание и тестирование изменений ИС должны осуществляться с использованием выделенной операционной среды, не влияющей на выполнение бизнес-процессов. При внесении изменений в ИС должна проводиться проверка работоспособности системы.

При выполнении работ должны приниматься необходимые меры обеспечения ИБ, в том числе в отношении лицензионных данных, исходных кодов и дистрибутивов ПО, криптографической информации и тестовых данных.

При эксплуатации ИС должны регулярно выполняться процедуры контроля работоспособности реализованных в ИС защитных мер.

При снятии с эксплуатации необходимо обеспечивать:

– сохранение архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены нормативными документами или договорами Компании;

– удаление информации, несанкционированное использование которой может нанести ущерб деятельности Компании, из постоянной памяти АИС и с внешних носителей.

НАШИ СЕКРЕТНЫЕ ИНГРЕДИЕНТЫ

Деятельность по обеспечению ИБ Компании должна быть документирована. Комплекс нормативных документов по ИБ должен обеспечивать систематическое изложение правил и требований по осуществлению деятельности по защите информации, как для Компании в целом, так и для отдельных бизнес-процессов и функциональных ролей.

В состав комплекса нормативных документов по обеспечению ИБ входят:

– Политика ИБ (настоящий документ) и поддерживающие её документы;

– Регламент парольной защиты;

– Инструкция пользователя ИАС;

– прочие документы, определяющие требования ИБ к процедурам и ролям.

Политика ИБ является основополагающим документом и определяет высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ. Политика ИБ подлежит утверждению руководством Компании.

Частные политики ИБ детализируют положения Политики ИБ для отдельных направлений деятельности по обеспечению ИБ. Документы, содержащие положения частных политик ИБ, могут быть введены в действие посредством утверждения руководством Компании или приказом Главного акционера Компании.

Документы, содержащие требования ИБ к процедурам и ролям (регламенты, инструкции и др.) определяют требования к процессам обеспечения ИБ и порядок действий персонала по обеспечению ИБ при реализации отдельных бизнес-процессов, работе с отдельными информационными системами и видами активов с необходимой для обеспечения надёжной защиты информационных активов детальностью.

Указанные в настоящем пункте документы подлежат согласованию с ответственным сотрудником по обеспечению ИБ и утверждаются руководителями структурных подразделений, ответственными за выполнение регламентируемых видов деятельности.

Нормативная документация по обеспечению ИБ должна предусматривать документальное оформление свидетельств выполнения деятельности по обеспечению ИБ.

Нормативные документы по обеспечению ИБ должны пересматриваться и совершенствоваться на регулярной основе с учётом изменений законодательства и нормативных актов по обеспечению ИБ страны местопребывания Компании, внутренних нормативных документов Компании и результатов контроля состояния ИБ Компании. Изменённые нормативные документы подлежат утверждению в установленном порядке.

Объект защиты

Защите подлежат все информационные активы, принадлежащие Компании и используемые Компанией в своей деятельности, в том числе:

– информационные ресурсы (файлы, базы данных, архивированная информация, документация и др.);

– технологические процессы обработки информации (платёжные, технологические процессы и др.);

– программное обеспечение (прикладное и системное программное обеспечение, утилиты, средства разработки и др.);

– технические средства информатизации (компьютерное и телекоммуникационное оборудование, носители информации и др.);

– помещения, используемые для реализации информационных процессов.

В целях анализа рисков ИБ и выбора мер защиты все защищаемые информационные активы подлежат инвентаризации и классификации. Классификация информационных активов основана на требованиях по обеспечению ИБ использующих их бизнес-процессов.

Рекомендуемые правила инвентаризации и классификации информационных активов определены в документе «Политика информационной безопасности» ООО «_______». Методика инвентаризации и классификации информационных активов».