Информационная безопасность

При создании, модернизации и эксплуатации объектов КИИ необходимо учитывать актуальные угрозы информационной безопасности, особенности объектов защиты и требования нормативной базы в области безопасности КИИ. На текущий момент определяющими нормативными документами в области безопасности КИИ являются:

• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
• Приказ Федеральной службы по техническому и экспортному контролю России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ Федеральной службы по техническому и экспортному контролю России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
• Приказ Федеральной службы по техническому и экспортному контролю России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

АО «ЧЭАЗ» обладает лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, что дает право выполнения работ и оказания услуг по обеспечению информационной безопасности объектов КИИ (включая АСУ ТП) с учетом их особенностей и требований нормативной документации:

- категорирование объектов КИИ:

• выявление критических процессов;
• определение объектов КИИ;
• присвоение категории значимости объектам КИИ;

- установление требований к обеспечению информационной безопасности объектов КИИ:

• подготовка ТЗ на создание подсистемы безопасности;

- проектирование и внедрение организационных и технических мер информационной безопасности объектов КИИ:

• разработка модели угроз безопасности информации;
• разработка проектной документации подсистемы безопасности;
• выбор средств защиты информации (далее – СЗИ) с учетом категории значимости, совместимости;
• тестирование работоспособности и совместимости СЗИ с программными и аппаратными средствами объекта КИИ;
• разработка эксплуатационной документации;
• установка и настройка СЗИ;
• разработка организационно-распорядительной документации, регламентирующей правила и процедуры обеспечения безопасности;
• разработка программы и методики предварительных испытаний подсистемы безопасности, проведение предварительных испытаний подсистемы безопасности;
• разработка программы и методики опытной эксплуатации подсистемы безопасности, контроль подсистемы безопасности при опытной эксплуатации;
• анализ уязвимостей, включая тестирование на проникновение;
• разработка программы и методики приемочных испытаний подсистемы безопасности, проведение приемочных испытаний подсистемы безопасности;

- контроль состояния безопасности объектов КИИ в ходе эксплуатации:

• анализ уязвимостей;
• анализ изменения угроз безопасности информации;
• контроль (анализ) защищенности.

• лицензии ФСТЭК/ФСБ России на деятельность в области защиты информации;
• квалифицированные специалисты в области информационной безопасности АСУ ТП;
• испытательная площадка «Лаборатория цифровой энергетики» для проверки работоспособности и совместимости средств защиты информации со средствами автоматизации АСУ ТП;
• оценка соответствия средств защиты информации в форме испытаний или приемки;
• программные и программно-аппаратные средства автоматизации АСУ ТП собственной разработки, со встроенными функциями средств защиты информации;
• гарантийная и техническая поддержка программных и программно-аппаратных продуктов АО «ЧЭАЗ»;
• разработка программного обеспечения в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
• сотрудничество с ведущими отечественными разработчиками и производителями средств защиты информации;
• учет пожеланий и потребностей Заказчиков.

АО «ЧЭАЗ» является технологическим партнером ведущих отечественных ИТ-компаний в области информационной безопасности. Партнерство с разработчиками и производителями средств защиты информации позволяет участвовать в создании совместных комплексных решений, протестировать их применение, предоставить дополнительные сервисы Заказчикам.

Испытания средств и систем защиты информации партнеров-производителей на работоспособность и совместимость с реальным оборудованием АСУ ТП выполняются на собственной испытательной площадке - «Лаборатория цифровой энергетики».

	«Код Безопасности» – российский разработчик сертифицированных средств защиты информации. Продукты компании обеспечивают защиту конечных станций и серверов, периметра сети, современных виртуальных инфраструктур и мобильных устройств сотрудников
	«Группа Астра» – один из лидеров российского рынка информационных технологий в области разработки инфраструктурного ПО и средств защиты информации. Программные продукты «Группы Астры» используются в государственных и коммерческих организациях любого масштаба, в госкорпорациях и концернах, на промышленных предприятиях, объектах КИИ и в компаниях из реальных секторов экономики
	Российский разработчик ПО для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред. Киберпротект предоставляет масштабируемые решения мирового уровня для надежной киберзащиты, быстрого восстановления данных и гарантии отказоустойчивости информационных систем
	ИнфоТеКС – ведущий отечественный разработчик и производитель высокотехнологичных программных и программно-аппаратных средств защиты информации
	Positive Technologies – лидер рынка результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики
	UserGate – ведущий российский разработчик программного обеспечения и микроэлектроники. Решения UserGate обеспечивают безопасность корпоративных сетей любого размера
	InfoWatch – ведущий российский разработчик решений для обеспечения информационной безопасности организаций. Компания разрабатывает технологии и продукты для снижения рисков информационной безопасности, защиты и анализа корпоративных данных для компаний, которые видят свое будущее цифровым
	Компания Нума Технологии – российский разработчик специализированного программного обеспечения и средств защиты информации. Деятельность компании сосредоточена на проведении разработок по ключевым направлениям информационных технологий, значимых для создания безопасных информационных систем – защита конечных точек, защита сетей и защищенная виртуализация