Применимо для ПЛК, коммутаторов и для АРМ, где невозможно выполнить установка наложенных средств защиты, в том числе для АСУ ТП.
Меры по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) установлены в Требованиях по обеспечению безопасности значимых объектов КИИ, утвержденных, приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ). В соответствии с пунктом 23 Требований к СБ проводится определение базового набора мер по обеспечению безопасности значимого объекта КИИ и его адаптация с учетом угроз безопасности информации, применяемых информационных технологий и особенностей функционирования значимого объекта КИИ. При этом из базового набора исключаются меры, связанные с информационными технологиями, не используемыми в значимом объекте КИИ, или несвойственные его характеристикам. При адаптации базового набора мер для всех угроз, включенных в модель угроз, сопоставляются меры, обеспечивающие блокирование угроз безопасности или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.
При этом, в случае невозможности реализации отдельных мер, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта КИИ.
В случае невозможности применения наложенных средств защиты информации, в качестве компенсирующих мер могут быть рассмотрены организационные и режимные меры по обеспечению промышленной, функциональной и физической безопасности значимого объекта КИИ, поддерживающие необходимый уровень его защищенности. Применение компенсирующих мер должно быть обосновано в ходе разработки мероприятий по обеспечению безопасности значимого объекта КИИ, а при проведении приемочных испытаниях (аттестации) должна быть оценена достаточность и адекватность компенсирующих мер для блокирования актуальных угроз безопасности информации.
Таким образом, для выполнения Требований к СБ в отношении автоматизированной системы управления котельной, состоящей из программируемых логических контроллеров и автоматизированных рабочих мест, необходимо:
1. Определить базовый набор мер по обеспечению значимого объекта КИИ на основе его категории значимости.
2. Исключить из базового набора меры, которые не могут быть применены к объекту КИИ в соответствии с его техническими характеристиками.
3. Провести моделирование угроз безопасности информации.
4. Провести сопоставление угроз безопасности информации и мер, обеспечивающих блокирование данных угроз безопасности.
5. Разработать компенсирующие меры, обеспечивающие блокирование угроз безопасности информации или снижающие возможность их реализации, исходя из условий функционирования значимого объекта КИИ.
6. Провести приемочные испытания (аттестацию) значимого объекта КИИ и его подсистемы безопасности.
Обязательно в значимых ОКИИ использовать сертифицированные ОС и СУБД?