2.7. Мероприятия по обеспечению защиты информации в системах оповещения населения
Система оповещения населения имеет трехуровневую структуру <20>:
--------------------------------
<20> "ТР ЕАЭС 050/2021. Технический регламент Евразийского экономического союза "О безопасности продукции, предназначенной для гражданской обороны и защиты от чрезвычайных ситуаций природного и техногенного характера".
уровень управления (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, уполномоченной на задействование (запуск) системы оповещения населения) - верхний уровень;
уровень (автоматизированного (автоматического) управления оконечными средствами оповещения населения и сбора подтверждений о их включении и контроля их состояния - средний уровень;
уровень исполнительных устройств (оконечных средств оповещения населения) - нижний уровень.
автоматизированные рабочие места (серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, каналы связи, межсетевые экраны, иное оборудование телекоммуникаций);
б) на уровне (автоматизированного (автоматического) управления:
аппаратура запуска и мониторинга, комплекты звукоусилительные, усилительно-коммутационные блоки, устройства запуска, устройства перехвата речевых и видеотрактов, каналы и линии связи до оконечных средств оповещения;
в) на уровне исполнительных устройств:
оконечные средства оповещения населения, громкоговорители, акустические системы, электросирены, датчики ЧС, системы мониторинга природных и техногенных ЧС.
Рекомендуется в системе оповещения населения объектами защиты считать:
автоматизированные рабочие места (серверы) с установленным на них общесистемным и прикладным программным обеспечением, устройства перехвата речевых и видеотрактов;
каналы связи между автоматизированными рабочими местами (серверами) и устройствами перехвата речевых и видеотрактов;
иные элементы системы оповещения населения в зависимости от угроз безопасности информации.
Защита информации осуществляется в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. N 31 и Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.
При этом основными задачами, возлагаемыми на систему защиты информации, являются:
обеспечение защиты от несанкционированного доступа к передаваемой информации;
обеспечение целостности и доступности передаваемой информации;
противодействие внешним потенциальным угрозам.
Формировать требования к защите информации в системе оповещения населения рекомендуется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583), ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624), а также нормативных документов субъекта Российской Федерации.
При определении требований к системе защиты системы оповещения населения рекомендуется учитывать положения политик обеспечения информационной безопасности государственного заказчика-координатора в случае их разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
Система защиты системы оповещения населения не должна препятствовать штатному режиму функционирования системы оповещения населения при выполнении ее функций в соответствии с предназначением.
При внедрении организационных мер защиты информации рекомендуется осуществлять:
введение ограничений на действия персонала (пользователей (дежурной (дежурно-диспетчерской) службы органа повседневного управления РСЧС, уполномоченной на задействование (запуск) системы оповещения населения), администраторов, обеспечивающего персонала), а также на условия эксплуатации, изменение состава и конфигурации ТСО и программного обеспечения;
определение администратора безопасности информации;
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа;
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий персонала системы оповещения населения и администратора безопасности информации, направленных на обеспечение защиты информации;
отработка практических действий должностных лиц и подразделений, обеспечивающих эксплуатацию системы оповещения населения и защиту информации.
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности систем приведены в приказе ФСТЭК России от 14 марта 2014 г. N 31.
В составе мер защиты информации учитывается запрет возможности тестирования (диагностики), программирования и управления системой оповещения населения с мест и каналов оконечных средств оповещения системы оповещения населения.
При отсутствии возможности реализации отдельных мер защиты информации на каком-либо из уровней системы оповещения населения и (или) невозможности их применения к отдельным ТСО и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования системы оповещения населения, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности системы оповещения населения.
В этом случае в ходе разработки системы защиты системы оповещения населения должно быть проведено обоснование применения компенсирующих мер, а при приемочных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей