Защита критически важных объектов информатизации (КВОИ — 2017)

Критически важный объект информатизации (далее – КВОИ) – объект информатизации, который:
— обеспечивает функционирование экологически опасных и (или) социально значимых производств и (или) технологических процессов, нарушение штатного режима которых может привести к чрезвычайной ситуации техногенного характера;
— осуществляет функции информационной системы, нарушение (прекращение) функционирования которой может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах;
— обеспечивает предоставление значительного объема информационных услуг, частичное или полное прекращение оказания которых может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах.

Развитие законодательства по защите КВОИ
В 2011 году были утверждены:
«Положение об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации», утверждено Указом Президента РБ от 25 октября 2011 г. № 486. Положение устанавливается порядок отнесения объектов информатизации к критически важным и обеспечения безопасности КВОИ.
«Положение о Государственном реестре критически важных объектов информатизации», утверждено Приказом Оперативно-аналитического центра при Президенте РБ 20.12.2011 № 96. Положение определяется порядок включения объектов информатизации в Государственный реестр КВОИ, ведения реестра, исключения объектов информатизации из реестра, а также предоставления сведений из него.
В 2012 году Приказом Оперативно-аналитического центра при Президенте РБ 30.04.2012 № 42 была утверждена «Инструкция о порядке проведения внешнего контроля за обеспечением безопасности критически важных объектов информатизации». В инструкции устанавливается порядок проведения внешнего контроля за обеспечением безопасности КВОИ.
В 2013 году Приказом Оперативно-аналитического центра при Президенте РБ 17.07.2013 № 47, был утвержден и введен в действие технический кодекс установившейся практики (ТКП 483-2013) «Информационные технологии и безопасность. Безопасная эксплуатация и надежное функционирование критически важных объектов информатизации. Общие требования». ТКП устанавливает требования по обеспечению безопасности КВОИ.

Порядок защиты КВОИ
Теперь кратко рассмотрим порядок защиты КВОИ, который включает в себя:
— отнесение ОИ к КВОИ в соответствии с перечнем отраслевых критериев;
— классификацию КВОИ;
— организацию защиты КВОИ.
Обязанности по обеспечению безопасного функционирования КВОИ возлагаются на его владельца.
Классификация КВОИ проводится в соответствии с
СТБ 34.101.52-2016 «Информационные технологии. Методы и средства безопасности. Критически важные объекты информатизации. Классификация» (вступает в силу с 01.04.2017)
Для разработки задания по безопасности на КВОИ необходимо использовать
СТБ 34.101.1-2014 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
СТБ 34.101.2-2014 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
СТБ 34.101.3-2014 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности»;
СТБ 34.101.59-2016 «Информационные технологии и безопасность. Задание по безопасности. Методические указания по разработке» (вступает в силу с 01.04.2017);

и, в зависимости от класса, присвоенного КВОИ, необходимо организовать защиту объекта, в соответствии со следующими СТБ, устанавливающими необходимый перечень функциональных и гарантийных требований безопасности:
СТБ 34.101.53-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса А1-у» (вступает в силу с 01.04.2017);
СТБ 34.101.54-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса А2-у (вступает в силу с 01.04.2017);
СТБ 34.101.55-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса Б1-у (вступает в силу с 01.04.2017);
СТБ 34.101.56-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса Б2-у (вступает в силу с 01.04.2017);
СТБ 34.101.57-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса В1-у (вступает в силу с 01.04.2017);
СТБ 34.101.58-2016 «Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса В2-у (вступает в силу с 01.04.2017).

Классификация КВОИ
Краткое описание классов КВОИ:
КВОИ класса А1-у (совокупность КВОИ), размещенный(ых) в одной контролируемой зоне, на котором в пределах области действия комплекса безопасности объекта используются критичные активы и обрабатывается информация, распространение и (или) предоставление которой ограничено, и (или) иная информация, охраняемая в соответствии с законодательством Республики Беларусь, за исключением сведений, отнесенных в установленном порядке к государственным секретам; при этом обеспечивается доступность, целостность и конфиденциальность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.
КВОИ класса А2-у (совокупность КВОИ), размещенный(ых) в одной контролируемой зоне, на котором в пределах области действия комплекса безопасности объекта используются критичные активы и обрабатывается общедоступная (открытая) информация; при этом обеспечивается доступность и целостность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.
КВОИ класса Б1-у (совокупность КВОИ), размещенных в нескольких объединенных защищенными каналами передачи данных контролируемых зонах, на которых в пределах области действия комплекса безопасности объекта используются критичные активы и обрабатывается информация, распространение и (или) предоставление которой ограничено, и (или) иная информация, охраняемая в соответствии с законодательством Республики Беларусь, за исключением сведений, отнесенных в установленном порядке к государственным секретам; при этом обеспечивается доступность, целостность и конфиденциальность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.
КВОИ класса Б2-у (совокупность КВОИ), размещенный(ых) в нескольких объединенных открытыми и (или) защищенными каналами передачи данных контролируемых зонах, на которых в пределах области действия КБО используются критичные активы и обрабатывается общедоступная (открытая) информация; при этом обеспечивается доступность и целостность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.
КВОИ класса В1-у (совокупность КВОИ), размещенный(ых) в одной или нескольких объединенных защищенными каналами передачи данных контролируемых зонах, на которых в пределах области действия комплекса безопасности объекта (КБО) используются критичные активы и обрабатывается информация, распространение и (или) предоставление которой ограничено, и (или) иная информация, охраняемая в соответствии с законодательством Республики Беларусь, за исключением сведений, отнесенных в установленном порядке к государственным секретам, но одно или несколько средств вычислительной техники из совокупности имеют защищенные каналы обмена информацией за пределами контролируемой зоны с другими объектами информатизации; при этом обеспечивается доступность, целостность и конфиденциальность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.
КВОИ класса В2-у (совокупность КВОИ), размещенный(ых) в одной или нескольких объединенных открытыми и (или) защищенными каналами передачи данных контролируемых зонах, на которых в пределах области действия комплекса безопасности объекта используются критичные активы и обрабатывается общедоступная (открытая) информация, но одно или несколько средств вычислительной техники из совокупности имеют открытые и (или) защищенные каналы обмена информацией за пределами контролируемой зоны с другими объектами информатизации; при этом обеспечивается доступность и целостность критичных активов путем реализации мер, направленных на предотвращение умеренного ущерба.