АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

Д.В. Реуцкий

8(495)870-29-21 доб. 48-537

№

на №

от

МИНИСТЕРСТВО

ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ

И МАССОВЫХ КОММУНИКАЦИЙ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Пресненская наб., д.10, стр.2, Москва, 125039

Юридический адрес: Тверская, 7, Москва

Справочная: +7 (495) 771-8000

АНО «Цифровая экономика»

Рабочая группа по направлению

«Информационная безопасность»

121205, Москва, территория

инновационного центра Сколково,

бульвар Большой, д. 42, строение 1

О направлении на рассмотрение

технических заданий

Министерство цифрового развития, связи и массовых коммуникаций

Российской Федерации (далее – Министерство) направляет на рассмотрение в

Рабочую группу по направлению «Информационная безопасность»

АНО «Цифровая экономика» проекты технических заданий по результатам

паспорта федерального проекта «Информационная безопасность» национальной

программы «Цифровая экономика Российской Федерации»:

1. 1.6 Законодательно приняты требования к устойчивости и безопасности

сетей связи и оборудования органов государственной власти и организаций

различных организационно-правовых форм и обеспечен контроль (надзор) за их

соблюдением;

2. 1.7 Определены методики оценки показателей информационной

безопасности на сетях связи общего пользования (включая российский сегмент

сети «Интернет»), их текущие и целевые значения;

3. 1.21 Разработаны требования к операторам промышленного Интернета,

проекты стандартов безопасности для киберфизических систем, включая

устройства «Интернета вещей»;

4. 1.48 Введѐн в эксплуатацию и функционирует киберполигон для

обучения и тренировки специалистов и экспертов разного профиля,

руководителей в области информационной безопасности и ИТ современным

практикам обеспечения безопасности;

5. 1.49 Разработана модель угроз информационной безопасности для

персональных устройств сбора биометрических данных (холтер, браслеты, часы,

2

фитнес-трекеры и пр.) и дорожная карта по обеспечению информационной

безопасности при использовании гражданами указанного класса технических

средств в Российской Федерации;

6. 1.50 Проводится экспертно-аналитическое сопровождение реализации

федерального проекта, в том числе предусматривающее выполнение отдельных

мероприятий федерального проекта.

Просим рассмотреть проекты технических заданий на заседании рабочей

группы в возможно короткие сроки.

Приложение: в 1 экз. на 67 листах.

Директор департамента Д.С. Никитин

развития отрасли ИТ

ПРОЕКТ

Национальная программа «Цифровая экономика Российской Федерации»

Федеральный проект «Информационная безопасность»

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на реализацию задачи 1.54 «Введён в эксплуатацию и функционирует

киберполигон для обучения и тренировки специалистов и экспертов разного

профиля, руководителей в области информационной безопасности и ИТ

современным практикам обеспечения безопасности»

На __ листах

Действует с __.__.____

2019

2

Содержание

1 Общие сведения................................................................................................................................... 3

2 Назначение и цели создания Киберполигона ................................................................................... 5 2.1 Цели создания Киберполигона................................................................................................... 5

2.2 Результаты работ ......................................................................................................................... 5

3 Требования к Киберполигону ............................................................................................................ 8 3.1 Требования к системе в целом ................................................................................................... 8 3.2 Требования к функциям, выполняемым Киберполигоном ..................................................... 8 3.3 Требования к структуре и функционированию системы ........................................................ 9

3.4 Требования к численности и квалификации персонала системы и режиму его работы .... 14 3.5 Требования к надежности ......................................................................................................... 15 3.6 Требования безопасности ......................................................................................................... 15 3.7 Требования к эргономике и технической эстетике ................................................................ 15 3.8 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению

компонентов системы ..................................................................................................................... 16 3.9 Требования по сохранности информации при авариях ......................................................... 16

3.10 Требования к защите от влияния внешних воздействий ..................................................... 17 3.11 Требования к патентной чистоте ........................................................................................... 17 3.12 Требования по стандартизации и унификации ..................................................................... 18 3.13 Требования к развитию и модернизации Киберполигона ................................................... 18

4 Состав и содержание работ по созданию системы ........................................................................ 19

5 Порядок контроля и приемки системы ........................................................................................... 21

6 Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу

системы в действие .............................................................................................................................. 22

7 Требования к документированию .................................................................................................... 23

3

1 Общие сведения

1.1 Полное наименование: Киберполигон для обучения и тренировки

специалистов и экспертов разного профиля, руководителей в области

информационной безопасности и ИТ современным практикам обеспечения

безопасности.

1.2 Условные обозначения: Киберполигон.

1.3 Шифр мероприятия: Киберполигон-2019.

1.4 Перечень документов, на основании которых создается Киберполигон

1) Стратегия национальной безопасности, утвержденная Указом

Президента Российской Федерации от 31 декабря 2015 года № 683.

2) Доктрина информационной безопасности Российской Федерации,

утвержденная Указом Президента РФ № 646 от 5 декабря 2016 г.

3) Указ Президента РФ от 7 мая 2018 г. N 204 «О национальных целях

и стратегических задачах развития Российской Федерации на период до 2024

года».

4) Указ Президента Российской Федерации от 9 мая 2017 г. № 203

«О Стратегии развития информационного общества на 2017-2030 годы»;

5) Федеральный закон «Об информации, информационных

технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.

6) Федеральный закон «О безопасности критической информационной

инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ.

7) Паспорт федерального проекта «Информационная безопасность»

национальной программы «Цифровая экономика Российской Федерации».

1.5 Плановые сроки работы по созданию Киберполигона:

Сроки оказания услуг по созданию Системы не должны превышать сроков,

указанных в разделе 5 настоящего документа.

1.6 Порядок оформления и предъявления заказчику результатов работ

Порядок оформления и предъявления Заказчику результатов работ должен

соответствовать требованиям настоящего документа. Результаты работ

4

предъявляются Заказчику в сроки и порядке, определенном Правилами

предоставления субсидии, в соответствии с требованиями настоящего документа.

5

2 Назначение и цели создания Киберполигона

2.1 Цели создания Киберполигона

2.1.1 Целью создания Киберполигона является:

системное развитие кадрового потенциала Российской Федерации

в области информационной безопасности и формирование практических навыков

защиты от реализации угроз информационной безопасности и компьютерных атак

у учащихся, специалистов, руководителей в области ИТ и ИБ;

стимулирование обмена лучшими практиками обеспечения

информационной безопасности между организациями Российской Федерации;

повышение уровня защищённости программного и аппаратного

обеспечения информационной и промышленной автоматизированной

инфраструктуры организаций Российской Федерации, в том числе объектов КИИ,

включая программное обеспечение в составе Единого реестра российских

программ для ЭВМ;

совершенствование методического и нормативного обеспечения

процессов информационной безопасности организаций в Российской Федерации.

2.2 Результаты работ

2.2.1 В результате создания Киберполигона должна быть создана

технологическая, методологическая и организационная инфраструктура,

позволяющая обеспечить решение следующих задач:

проведение кибер-учений, соревнований и практических тренировок по

информационной безопасности для учащихся, специалистов, экспертов и

руководителей в сфере информационных технологий, информационной безопасности

и систем промышленной автоматизации;

тестирование программного обеспечения, оборудования, элементов

информационных и промышленных автоматизированных систем, включая

6

компонентов АСУ ТП и Промышленного Интернета, на реализацию функций

информационной безопасности, защищённость и отсутствие уязвимостей;

тестирование средств защиты информации на реализацию

функциональных возможностей, защищённость и наличие уязвимостей;

проведение открытых и закрытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость

для независимых экспертов в информационной безопасности («Bug Bounty»);

проверка и информирование об угрозах информационной

безопасности уровня веб-приложений;

наполнение Банка данных угроз и уязвимостей ФСТЭК России.

2.2.2 С использованием инфраструктуры в 2019 году должны быть достигнуты

следующие результаты:

создан 1 (один) киберполигон для не менее 2 (двух) ИТ-

инфраструктур, эмулирующих корпоративные сети различных отраслей

экономики («ИТ-киберполигон»);

создан 1 (один) киберполигон для не менее 1 индустриальной

инфраструктуры – АСУ ТП или систем Промышленного интернета

(«Индустриальный киберполигон»);

проведена тренировка не менее 60 (шестидесяти) учащихся,

специалистов, экспертов и руководителей современным практикам обеспечения

информационной безопасности;

проведено не менее 2 (двух) кибер-учений или соревнований

по информационной безопасности, в том числе не менее 1 (одного)

для организации реального сектора экономики Российской Федерации;

создано не менее 2 (двух) учебно-практических центров

тестирования программного обеспечения на наличие уязвимостей и

недекларированных возможностей, в том числе, 1 (один) центр на базе Центра

Цифрового Развития Дальневосточного федерального университета;

7

проведено не менее 2 (двух) открытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость для

независимых экспертов в информационной безопасности в Российской

Федерации («Bug Bounty»).

2.2.3 С использованием инфраструктуры в 2020 году должны быть достигнуты

следующие результаты:

проведена тренировка не менее 150 (ста пятидесяти) учащихся,

специалистов, экспертов и руководителей современным практикам обеспечения

информационной безопасности;

проведено не менее 6 (шести) кибер-учений или соревнований

по информационной безопасности, в том числе не менее 2 (двух) для организаций

реального сектора экономики Российской Федерации;

создано не менее 4 (четырёх) учебно-практических центров

в партнёрстве с организациями высшего профессионального образования;

проведено не менее 6 (шести) открытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость для

независимых экспертов в информационной безопасности в Российской

Федерации («Bug Bounty»).

8

3 Требования к Киберполигону

3.1 Требования к системе в целом

3.1.1. При создании Киберполигонов должно быть создано 2 (два) Полигона

по инфраструктурному признаку:

Полигон для ИТ-инфраструктур – информационных систем (далее –

«ИТ-полигон», «ИТ-киберполигон»);

Полигон для индустриальных инфраструктур – АСУ ТП и систем

Промышленного интернета (далее – «Индустриальный полигон», «Индустриальный

киберполигон»).

3.1.2. Для каждого Киберполигона должны быть определены функциональные

требования, требования к технологической инфраструктуре.

3.2 Требования к функциям, выполняемым Киберполигоном

3.2.1. Техническая и организационная инфраструктура Индустриального

полигона должна обеспечивать выполнение следующих функций:

проведение кибер-учений, соревнований и практических тренировок по

информационной безопасности для учащихся, специалистов, экспертов и

руководителей в сфере информационных технологи и информационной безопасности;

тестирование программного обеспечения, оборудования, элементов

информационных на реализацию функций информационной безопасности,

защищённость и отсутствие уязвимостей;

тестирование средств защиты информации на реализацию

функциональных возможностей, защищённость и наличие уязвимостей;

проведение открытых и закрытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость

для независимых экспертов в информационной безопасности («Bug Bounty»);

проверка и информирование об угрозах информационной

безопасности уровня веб-приложений;

9


3.2.2. Техническая и организационная инфраструктура Индустриального

полигона должна обеспечивать выполнение следующих функций:

исследование и тестирование компонентов АСУ ТП и

промышленного Интернета, СЗИ и технических решений по защите информации,

в том числе моделирование атак и кибер-физических последствий.

проведения кибер-учений, практических тренировок, обучений и

соревнований для специалистов и экспертов разного профиля в области

информационной безопасности систем промышленной автоматизации;

исследования, тестирования и выявления уязвимостей и

недекларированных возможностей в СЗИ, компонентах АСУ ТП и

Промышленного Интернета;

организацию работу сторонних исследователей в рамках работ по

анализу защищенности СЗИ, компонентов АСУ ТП и Промышленного Интернета

(в рамках Bug Bounty программ);


3.3 Требования к структуре и функционированию системы

3.3.1. Требования к технической инфраструктуре ИТ-полигона:

3.3.1.1. Техническая инфраструктура ИТ-полигона должна состоять из трёх

блоков:

базовая инфраструктура для проведения кибер-учений и/или

соревнований по информационной безопасности;

инфраструктуры для проведения исследований защищенности;

инфраструктура для тренировки специалистов по информационной


3.3.1.2. Базовая инфраструктура для проведения кибер-учений и/или

соревнований по кибербезопасности должна включать:

10

не менее 2 инфраструктур, эмулирующих корпоративные сети

различных отраслей экономики, в составе не менее 50 виртуальных машин,

эмулирующих серверное оборудование, не менее 100 рабочих станций,

10 инфраструктурных и 3 прикладных сервисов в каждой корпоративной

инфраструктуре;

информационную подсистему «Интернет», позволяющая проводить

активные атакующие действия на инфраструктуры для эмуляции атаки и

обеспечить удаленное подключение участников кибер-учений;

базовые типовые средства защиты информации для создаваемых

элементов инфраструктур;

базовые типовые средства мониторинга инцидентов

информационной безопасности в инфраструктурах.

3.3.1.3. При создании инфраструктуры для проведения кибер-учений должна

быть обеспечена связность и взаимодействие между компонентами на уровне

информационных систем и инфраструктур.

3.3.1.4. При создании инфраструктуры для проведения кибер-учений должна

быть проведена разработка и адаптация политик безопасности как на уровне

инфраструктуры, так и на уровне средств защиты, эмулирующих три сценария

зрелости организации:

низкий уровень зрелости – базовая настройка средств защиты,

минимальный объем использования встроенных средств безопасности

инфраструктуры;

средний уровень зрелости – настройки, адаптированные под

действия внешнего нарушителя с низким потенциалом;

высокий уровень зрелости – настройки, адаптированные под

действия внешнего нарушителя с высоким потенциалом.

3.3.1.5. Инфраструктура для тренировки специалистов по информационной

безопасности должна обеспечивать возможность практической подготовки

следующих областях:

11

«Специалисты по средствам криптографической защиты каналов

связи» – инфраструктура включает не менее двух производителей средств

криптографической защиты информации (СКЗИ);

«Специалисты по сетевой безопасности» – инфраструктура

включает не менее двух производителей межсетевых экранов, не менее двух

производителей системы обнаружения атак);

«Специалисты по защите веб-приложений» – инфраструктура

включает не менее двух производителей межсетевых экранов уровня веб-

приложений;

«Специалисты по мониторингу и анализу инцидентов

информационной безопасности» – инфраструктура включает не менее двух

производителей систем выявления и анализа инцидентов.

3.3.1.6. Инфраструктура для тренировки специалистов по информационной

безопасности должна обеспечивать возможность одновременной подготовки не

менее 100 специалистов.

3.3.2. Требования к технической инфраструктуре Индустриального полигона:

3.3.2.1. Техническая инфраструктура Индустриального полигона должна

состоять из трёх блоков:

стендов систем АСУ ТП и промышленного Интернета;

инфраструктуры для проведения исследований защищенности;

инфраструктуры для организации и проведения работ сторонних

исследователей в рамках Bug Bounty программ.


быть выполнена в соответствии с пятиуровневой модели университета Пердью, в

частности, должны быть реализованы следующие уровни:

уровень 0 – датчики и исполнительный устройства;

уровень 1 – базовые системы контроля;

уровень 2 – системы диспетчерского управления и сбора данных.

12

3.3.2.3. Для организации уровня 0 технической инфраструктуры

Индустриального полигона должны применяться имитирующие устройств,

комплексы для моделирования или реальные компоненты систем промышленной

автоматизации.


Индустриального полигона должны применяться реальные компоненты систем

промышленной автоматизации.


Индустриального полигона должны применяться реальные компоненты систем

промышленной автоматизации.

3.3.2.6. В состав технической инфраструктуры Индустриального полигона

должны входить следующие подсистемы:

подсистема моделирования энергосистем;

подсистема релейной защиты и автоматики;

подсистема информационно-телекоммуникационной

инфраструктуры;

подсистема мониторинга переходных процессов;

автоматизированная системы управления технологическим

процессом;

подсистема диспетчерского управления;

автоматизированная система коммерческого учета электроэнергии;

подсистема контроля и управления доступом;

подсистема защиты информации.

3.3.2.7. При реализации подсистем должно применяться оборудование как

отечественного, так и зарубежного производства.


позволять имитировать работу энергосистемы в высоким уровнем симуляции.

13


позволять проводить исследования СЗИ, компонентов АСУ ТП и Промышленного

Интернета и включать в себя следующий инструментарий:

дисассембремы, декомпиляторы бинарных файлов для реверс-

инжиниринга для платформ x86, а также всего спектра платформ,

использующихся в компонентах АСУ ТП и Промышленного Интернета (т.е.

различные версии ARM, MIPS и др.);

комплексные инструменты для разнообразного тестирования web-

сервисов (в том числе фаззинга, брутфорса и др.);

перехватчиками и анализаторами сетевых пакетов;

программно-аппаратный комплекс для моделирования, записи и

воспроизведения разнообразных сетевых атак, флудов, штормов и т.д.;

инструментарием для фаззинга различных компонентов ПО;

универсальные сканеры известных уязвимостей;

анализаторы Wi-Fi сетей;

устройства для тестирования JTAG интерфейса;

аппаратные сниферы (перехватчики) различных протоколов,

включая Ethernet, I2C, SPI, UART, CAN, а также других специализированных

протоколов, применяемых во встраиваемых устройствах;

аппаратные кейлоггеры (перехватчики цифрового, в том числе

клавиатурного ввода);

аппаратные платформы для анализа NFC взаимодействий;

SDR (программно-определяемый) трансиверы для перехвата и

анализа беспроводных протоколов;

цифровые осциллографы, логические анализаторы для анализа

низкоуровневых протоколов и различных отладочных интерфейсов;

одноплатные компьютеры для макетирования сложных атак;

многофункциональные программаторы;

14

инфракрасную паяльную станцию для монтажа/демонтажа модулей

памяти и других микросхем.


включать подсистему, позволяющую организовать работу сторонних

исследователей в рамках работ по анализу защищенности СЗИ, компонентов АСУ

ТП и промышленного Интернета (в рамках BugBounty программ).

3.4 Требования к численности и квалификации персонала системы и

режиму его работы

3.4.1. В рамках создания Киберполигонов должны быть разработаны

предложения по организационной структуре, необходимой для реализации

деятельности Полигона в соответствии с его функциями и функциональной

структурой.

3.4.2. Численность персонала Киберполигонов должна быть установлена из

расчета обеспечения ее работоспособности во всех требуемых режимах

функционирования.

3.4.3. В состав численности Киберполигонов должны входить следующие

роли, но не ограничиваясь:

руководитель (лидер) Киберполигона;

педагог-методист;

инженер-программист по математическому моделированию;

инженер АСУ ТП;

инженер–энергетик.

инженер-проектировщик систем автоматизации/систем защиты

информации;

исследователь обратной разработке;

исследователь по анализу защищенности;

исследователь-программист.

15

3.5 Требования к надежности

3.5.1. Надежность программно-технических средств Киберполигона должна

обеспечиваться за счет:

периодического резервного копирования информации на резервные

машинные носители информации;

возможности восстановления информации с резервных машинных

носителей информации (резервных копий) в течение установленного временного

интервала

3.6 Требования безопасности

3.6.1. В процессе монтажа, наладки, эксплуатации, обслуживания и ремонта

технических средств Киберполигона должны соблюдаться нормы электрической

и противопожарной безопасности, установленные на объекте проведения работ.

3.6.2. Система электропитания должна обеспечивать защитное отключение

при перегрузках и коротких замыканиях в цепях нагрузки, а также аварийное

ручное отключение.

3.6.3. Факторы, оказывающие вредные воздействия на здоровье со стороны

всех элементов системы (в том числе инфракрасное, ультрафиолетовое,

рентгеновское и электромагнитное излучения, вибрация, шум,

электростатические поля, ультразвук строчной частоты и т.д.), не должны

превышать действующих норм (СанПиН 2.2.2/2.4.1340-03 от 03.06.2003 г.).

3.7 Требования к эргономике и технической эстетике

3.7.1. Компоненты технической части Киберполигона должны иметь

возможность установки в монтажные стойки (шкафы).

3.7.2. В рамках технической инфраструктуры Киберполигона должны быть

организованы унифицированные автоматизированные рабочие места для

проведения обучений и тренировок специалистов в размере не менее 16 шт.

16

3.8 Требования к эксплуатации, техническому обслуживанию, ремонту

и хранению компонентов системы

3.8.1. Технические средства Киберполигона должны выбираться с учетом их

непрерывного функционирования.

3.8.2. Эксплуатация программно-технических средств Киберполигона

должна предусматривать следующие виды технического обслуживания:

оперативное обслуживание;

профилактические работы.

3.8.3. Оперативное обслуживание должно осуществляться в виде

ежедневного контроля функционирования программно-технических средств

Киберполигона.

3.8.4. Оперативное обслуживание не должно нарушать выполнения

функций Киберполигона в целом.

3.8.5. Профилактические работы должны включать периодическую

проверку и обслуживание программно-технических средств Киберполигона, для

которых такие процедуры предусмотрены эксплуатационной документацией

компании-производителя средств.

3.8.6. Объем и порядок выполнения технического обслуживания

технических и программных средств Киберполигона должны определяться

эксплуатационной документацией.

3.8.7. Все пользователи Киберполигона должны соблюдать правила

эксплуатации электроустановок.

3.9 Требования по сохранности информации при авариях

3.9.1. При авариях должна быть обеспечена сохранность следующей

информации:

параметры конфигурационных настроек систем и подсистем

Киберполигона;

17

параметры настроек средств идентификации, аутентификации и

авторизации систем и подсистем Киберполигона;

данные журналов событий.

3.9.2. Сохранность информации должна обеспечиваться при следующих

аварийных ситуациях:

нарушение электропитания;

сбой общего или специального программного обеспечения

компонентов Киберполигона.

3.9.3. Должна быть предусмотрена возможность восстановления

работоспособности и параметров настройки технических средств Киберполигона,

в том числе с помощью резервных копий и (или) дистрибутивов.

3.10 Требования к защите от влияния внешних воздействий

3.10.1. Программно-технические и технические средства

Киберполигона должны быть установлены в специально оборудованных

помещениях, в которых обеспечивается необходимая степень климатической

защиты от воздействия внешней среды.

3.10.2. Помещения, в которых размещаются программные и

технические средства Киберполигона, должны быть оборудованы средствами

контроля и управления доступом, пожарной безопасности, вентиляции и

кондиционирования.

3.10.3. Помещения и оборудование должны исключать возможность

бесконтрольного доступа посторонних лиц.

3.11 Требования к патентной чистоте

3.11.1. Применяемые решения в рамках Киберполигона должны

отвечать требованиям по патентной чистоте в соответствии с действующим

законодательством Российской Федерации.

18

3.12 Требования по стандартизации и унификации

3.12.1. Все технические решения в рамках создания Киберполигона

должны основываться на использовании типовых решений и максимальной

унификации технического и программного обеспечения.

3.12.2. В составе Киберполигона возможно применение как серийно

выпускаемых программные, технические и программно-аппаратные средства, так

и специально разработанные средства.

3.13 Требования к развитию и модернизации Киберполигона

3.13.1. Организационная и техническая инфраструктура

Киберполигона должна обеспечивать возможность развития и модернизации

путем добавления новых и расширения указанных в рамках данного ТЗ систем и

подсистем.

19

4 Состав и содержание работ по созданию системы

4.1 Наименование этапов и сроки выполнения работ представлены в

таблице:

№

п/п

Наименование этапов работ Срок

выполнения

работ

1 Создан ИТ-киберполигон 12.2019

2 Создан Индустриальный киберполигон 12.2019

2.1 Создан стенд «Цифровая подстанция» 12.2019

2.2 Создана инфраструктура для проведения киберучений,

соревнований, обучения и тренировок

12.2019

2.3 Создана инфраструктура для тестирования СЗИ,

компонентов АСУ ТП и промышленного Интернета

12.2019

2.4 Создана инфраструктура для проведения исследований

защищенности

12.2019

2.5 Создана инфраструктура для проведения Bug Bounty 12.2019

3 Создан портал для проверки и информирования об

угрозах информационной безопасности уровня веб-

приложений

12.2019

4 Разработан план мероприятий (дорожная карта)

по развитию Киберполигона на 2020-2024 гг.

12.2019

5 Создано не менее 2 (двух) учебно-практических центров

тестирования программного обеспечения на наличие

уязвимостей и недекларированных возможностей, в том

числе, 1 (один) центр на базе Центра Цифрового Развития

Дальневосточного федерального университета

12.2019

20

4.2 В рамках реализации этапа по Созданию стенда «Цифровая

подстанция» Исполнителем должны быть выполнены:

1. Техническое проектирование стенда «Цифровая

подстанция».

2. Монтажные и пусконаладочные работы.

3. Ввод технической инфраструктуры в действие.

4.3 В ходе технического проектирования должны быть разработаны

следующие типы документов:

ведомость технического проекта;

пояснительная записка;

структурная схема комплекса технических средств;

спецификация оборудования, изделий и материалов;

руководство пользователя.

4.4 В ходе этапа «Монтажные и пусконаладочные работы» должны

осуществляется следующие работы:

создание необходимых подразделений и рабочих мест;

подготовка площадки внедрения к развертыванию технической

инфраструктуры Киберполигона;

проверка комплектности программно-технических компонентов

Киберполигона;

монтаж и установка технической инфраструктуры Киберполигона;

настройка технической инфраструктуры Киберполигона для

обеспечения выполнения предъявляемых к ней требований и

функций.

21

5 Порядок контроля и приемки системы

5.1 Приемка работ осуществляется поэтапно по факту выполнения этапов

работ.

22

6 Требования к составу и содержанию работ по подготовке объекта

автоматизации к вводу системы в действие

6.1. Необходимо привести перечень основных мероприятий и их

исполнителей, которые следует выполнить при подготовке объекта автоматизации

к вводу АС в действие.

6.2. В перечень основных мероприятий включают:

1) приведение поступающей в систему информации (в соответствии с

требованиями к информационному и лингвистическому обеспечению) к виду,

пригодному для обработки с помощью ЭВМ;

2) изменения, которые необходимо осуществить в объекте автоматизации;

3) создание условий функционирования объекта автоматизации, при

которых гарантируется соответствие создаваемой системы требованиям,

содержащимся в ТЗ;

4) создание необходимых для функционирования системы подразделений

и служб;

5) сроки и порядок комплектования штатов и обучения персонала.

23

7 Требования к документированию

7.1. Комплект документации предоставляется в 2 экземплярах в печатном

виде, а также 2 экземпляра в электронном виде.

7.2. При разработке, оформлении и изложении материалов результатов

работ должны учитываться требования действующих нормативно-технических

документов, указанных в п.1, а также:

ГОСТ 34.201-89 «Виды, комплектность и обозначения документов

при создании автоматизированных систем»;

РД 50-34.698-90 «Методические указания. Информационная

технология. Комплекс стандартов и руководящих документов на

автоматизированные системы. Автоматизированные системы.

Требования к содержанию документов»;

ГОСТ 2.105-95 «ЕСКД. Общие требования к текстовым

документам»;

ГОСТ 2.106-96 «ЕСКД. Текстовые документы»;

ГОСТ 2.104-2006 «ЕСКД. Основные надписи».

7.3. В электронном виде документы должны быть представлены в формате

РDF и MS Word 2010/2013.

7.4. Схемы, графические материалы оформляется с использованием

графического редактора AutoCAD и графического редактора Microsoft Visio.


На выполнение работ по разработке модели угроз информационной

безопасности для персональных устройств сбора биометрических данных (холтер,

браслеты, часы, фитнес-трекеры и пр.) и дорожной карты по обеспечению

информационной безопасности при использовании гражданами указанного класса

технических средств в Российской Федерации в рамках реализации мероприятий

программы «Цифровая экономика Российской Федерации»

Актуальность выполнения работ.

Развитие технологий приводит к изменениям привычек и повышению качества

жизни людей. В последние несколько лет постоянно растет число устройств,

позволяющих пользователям следить за физиологическими параметрами человека:

• Программы и фитнес устройства для постоянного мониторинга активности.

• Дистанционный мониторинг состояния здоровья и контроль лечения.

• Мобильные диагностические устройства.

Необходимость разработки модели угроз регламентирована рядом нормативных

документов:

• приказом ФСТЭК России от 18 февраля 2013г. №21

• ФСТЭК России от 11 февраля 2013г. №17

• приказом ФСТЭК России от 14 марта 2014г. №31

• приказом ФСТЭК России от 25 декабря 2017г. №239

Цель работы.

Разработка модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) и

дорожной карты по обеспечению информационной безопасности при использовании

гражданами указанного класса технических средств в Российской Федерации.

Задачи.

Для достижения поставленной цели должны быть решены следующие задачи:

1. Разработка модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.)

2. Разработка обоснованного плана мероприятий по обеспечению

информационной безопасности при использовании гражданами персональных устройств

сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) в

Российской Федерации.

Состав работ.

Для решения обозначенных задач необходимо провести следующие работы:

Входе разработки модели угроз информации (по требованиям нормативных

документов ФСТЭК) должны быть определено:

1. Наличие персональных данных или их части в типовых устройствах и

программных продуктах.

2. Угрозы безопасности персональных данных при их обработке в устройствах

сбора и обработки биометрических данных.

3. Угрозы безопасности информации, реализация которых может привести к

нарушению безопасности информации в информационной системе, и разработку на их

основе модели угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание

информационной системы и ее структурно-функциональных характеристик, а также

описание угроз безопасности информации, включающее описание возможностей

нарушителей (модель нарушителя), возможных уязвимостей информационной системы,

способов реализации угроз безопасности информации и последствий от нарушения

свойств безопасности информации:

• описание часто повторяющихся типовых данных пользователя

• описание типовой информационной системы;

• структурно-функциональные характеристики;

• описание угроз безопасности;

• модель нарушителя;

• возможные уязвимости;

• способы реализации угроз;

• последствия от нарушения свойств безопасности информации;

• описание объекта защиты;

• перечень возможных угроз;

• оценки исходной защищенности устройств;

• оценки возможности угроз;

• оценки опасности угроз;

• перечень актуальных угроз.

В ходе разработки модели нарушителя информации (по требованиям нормативных

документов ФСБ) должны быть сформированы:

• перечень контрмер, нейтрализующих или уменьшающих вероятность

реализации угрозы безопасности информации;

• обоснованы и описаны технические решения по защиты информации;

• обоснованы и описаны организационные решения по защиты информации.

• описания объекта защиты

• описания угроз (модель угроз);

• типизации нарушителей;

• предположения об имеющейся у нарушителей информации;

• предположения об имеющихся у нарушителей средствах атак;

• предположения об ограничениях на возможности нарушителей;

• предположения о возможностях нарушителей каждого типа (с учетом

ограничений) и способов осуществления атак.

В ходе разработки дорожной карты необходимо:

1. Подготовить обоснованный проект плана мероприятий («дорожную карту»)

«Безопасность при использовании гражданами персональных устройств сбора

биометрических данных в Российской Федерации», необходимых для поэтапного

обеспечения информационной безопасности при использовании гражданами

персональных устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-

трекеры и пр.) в Российской Федерации.

2. Разработать предложения по способам и механизмам реализации

подготовленного плана мероприятий с учетом тенденций научно-технического и

технологического развития России с обязательным рассмотрением следующих возможных

методов:

• нормативного правового регулирования;

• материального стимулирования;

• нематериального регулирования;

• развития связанных с биометрическими данными отраслей

промышленности.

Результаты работ

1. Модель угроз информационной безопасности для персональных устройств сбора

биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.).

2. План мероприятий по обеспечению информационной безопасности при

использовании гражданами персональных устройств сбора биометрических данных

(холтер, браслеты, часы, фитнес-трекеры и пр.) в Российской Федерации.

Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов должны

учитываться требования действующих нормативно-технических документов, указанных в

п.1, а также:

• ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и

издательскому делу. Отчёт о научно-исследовательской работе. Структура и правила

оформления»;

• ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в рамках

настоящей работы, и состав документов, входящих в каждый из них, должны

соответствовать требованиям законодательства Российской Федерации.

Основной текст отчетных материалов оформляется на русском языке, печатным

(машинным) способом с использованием персонального компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом редакторе Microsoft

Office Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать стандартному формату

А4 (210 × 297 мм). В обоснованных случаях допускается использовать другой формат А3

(297 × 420 мм), при этом листы должны быть укомплектованы в едином документе

(формате).

Схемы, графические материалы оформляется с использованием графического

редактора AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных толкований,

логически последовательным. Ошибки, опечатки, графические неточности, помарки,

повреждения листов не допускаются. Вносить в текст отчетных материалов отдельные

слова, формулы, знаки, буквы, символы, графики, рисунки рукописным способом не

допускается.

Для наглядности и удобства изложения применяют таблицы, графический

материал, схемы, формулы.

В документации должны применяться общепринятые условные обозначения,

единицы величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и греческий

алфавит, для обозначения сокращения, формул, величин, символов и т.п.

Результаты работ (отчетные материалы) на бумажных носителях представляются в

виде оформленных сшитых томов. На титульном листе должны быть оригинальные

печати организации разработчика и подлинные подписи руководителя организации. На

следующей странице должны быть подписи руководителя работ и основных

исполнителей. Таблицы, а также иные материалы, расчеты и обоснования могут быть

представлены в виде отдельных приложений. Объем приложений не ограничивается.

Электронные версии отчетных материалов и приложений предоставляются на носителях

(флеш-карта) в качестве приложения к отчетным материалам.

ПРОЕКТ


на выполнение работ по разработке требований к устойчивости и

безопасности сетей связи и оборудования органов государственной

власти (за исключением высших органов государственной власти) и

организаций различных организационно-правовых форм, в рамках

реализации мероприятий федерального проекта «Информационная

безопасность» национальной программы «Цифровая экономика

Российской Федерации», подлежащих финансированию за счёт

бюджетных средств Российской Федерации в 2019 году

(Шифр темы: 05.02.001.008.001)

1. Общие сведения

1.1. Наименование и способ определения поставщика (исполнителя,

подрядчика)

Открытый конкурс.

1.2. Предмет контракта

Разработка требований к устойчивости и безопасности сетей связи и

оборудования органов государственной власти (за исключением

высших органов государственной власти) и организаций различных

организационно-правовых форм.

1.3. Начальная (максимальная) цена контракта

В соответствии с подпунктом 16 пункта 3 статьи 149 Налогового

кодекса Российской Федерации выполнение работ по контракту

налогом на добавленную стоимость не облагается.

1.4. Источник финансирования

Федеральный бюджет Российской Федерации

КБК 071 04 11 2340019 241 226

1.5. Государственный заказчик

Министерство связи и массовых коммуникаций Российской

Федерации (далее - Заказчик).

1.6. Участник закупки

Участник закупки - любое юридическое лицо независимо от его

организационно-правовой формы, формы собственности, места

нахождения и места происхождения капитала или любое физическое

лицо, в том числе зарегистрированное в качестве индивидуального

предпринимателя.

1.7. Поставщик (исполнитель, подрядчик)

Поставщик (исполнитель, подрядчик) - участник закупки, с которым

заключен государственный контракт (далее - Поставщик

(исполнитель, подрядчик)).

2. Основание для осуществления закупки

2.1. Нормативные правовые основания для осуществления закупки

1) Протокол президиума Правительственной комиссии по цифровому

развитию, использованию информационных технологий для

улучшения качества жизни и условий ведения

предпринимательской деятельности от 27 декабря 2018 г №6.

2.2. Ожидаемый результат

1) Требования к устойчивости и безопасности сетей связи и




2.3. Цель

Основной целью проведения исследования является обеспечение

устойчивости и безопасности функционирования сетей связи органов

государственной власти (за исключением высших органов

государственной власти) и организаций различных организационно-

правовых форм.

2.4. Задачи

1) Характеристика потребностей органов государственной власти в

части обеспечения устойчивости и безопасности

функционирования сетей связи при потреблении услуг связи.

2) Выявление особенностей обеспечения устойчивости и

безопасности телекоммуникационной инфраструктуры на

различных этапах жизненного цикла оказания услуг связи органам

власти.

3) Разработка требований к устойчивости и безопасности сетей связи

органов государственной власти (за исключением высших органов

государственной власти) и организаций различных


4) Разработка требований к оборудованию для целей обеспечения

устойчивости и безопасности функционирования сетей связи

органов государственной власти (за исключением высших органов

государственной власти) и организаций различных


3. Описание объекта закупки

3.1. Состав работ

Разработка требований к устойчивости и безопасности сетей связи и



организационно-правовых форм содержит следующие разделы:

3.1.1. Характеристика существующей практики обеспечения

потребностей органов власти в услугах связи и

инфокоммуникационной инфраструктуре, в том числе за счет

использования инфокоммуникационной инфраструктуры,

принадлежащей органам власти, а также за счет использования

инфраструктуры сетей связи и услуг связи, предоставляемых третьими

лицами.

3.1.1.1. Характеристика и классификация органов власти в

зависимости от потребностей в инфокоммуникационной

инфраструктуре и услугах связи, в том числе федеральных и

региональных органов власти, а также органов местного

самоуправления.

3.1.1.2. Характеристика телекоммуникационной и информационной

инфраструктуры органов власти, создаваемой в рамках отдельных

государственных программ.

3.1.1.3. Характеристика существующего порядка оказания услуг

связи органам власти.

3.1.2. Анализ зарубежной практики обеспечения потребности органов

государственного управления в услугах связи.

3.1.2.1. Исследование принципов регулирования сетей связи и

оборудования органов государственной власти иностранных

государств (США, Германия, Великобритания, КНР и др.).

3.1.2.2. Проведение сравнительного анализа принципов

регулирования сетей связи и оборудования органов

государственной власти иностранных государств, а также оценка

применимости лучших зарубежных практик

3.1.3. Анализ особенностей оказания услуг связи органам власти в

части задач обеспечения устойчивости и информационной


3.1.3.1. Классификация услуг связи в зависимости от целей, задач и

условий использования услуг связи.

3.1.3.2. Особенности услуг связи, используемых для целей

обращения граждан.

3.1.3.3. Особенности услуг связи, используемых для организации

рабочего процесса, внутриведомственного и межведомственного

документооборота органов власти.

3.1.3.4. Особенности услуг связи, используемых для обеспечения

функционирования государственных информационных систем и

иных информационных систем, принадлежащих органам власти.

3.1.3.5. Особенности оказания услуг связи в условиях

чрезвычайных ситуаций и чрезвычайного положения.

3.1.4. Анализ особенностей обеспечения устойчивости

телекоммуникационной инфраструктуры, задействуемой в целях

оказания услуг связи органам власти.

3.1.4.1. Анализ факторов, влияющих на обеспечение устойчивости

сетей связи, связанных с технологическими особенностями

построения сетей связи, структурой и топологией сетей связи.

3.1.4.2. Анализ факторов, влияющих на обеспечение устойчивости

сетей связи, связанных с особенностями организации технической

эксплуатации.

3.1.5. Анализ особенностей обеспечения безопасности

функционирования телекоммуникационной инфраструктуры,

задействуемой в целях оказания услуг связи органам власти.

3.1.5.1. Анализ модели угроз безопасности функционирования сетей

связи ОГВ и процесса оказания услуг органам власти

(разрабатывается с учетом результатов, полученных в рамках вехи

05.01.001.001. Плана мероприятий по направлению

«Информационная безопасность» программы «Цифровая экономика

Российской Федерации»).

3.1.5.2. Особенности обеспечения безопасности функционирования

сетей связи при оказании, на базе их инфраструктуры, услуг

телефонной связи органам власти.

3.1.5.3. Особенности обеспечения безопасности функционирования

сетей связи при оказании, на базе их инфраструктуры, услуг

передачи данных органам власти.

3.1.5.4. Особенности обеспечения информационной безопасности

при оказании органам власти услуг доступа к Интернет.

3.1.5.5. Особенности обеспечения информационной безопасности

виртуальных частных сетей, создаваемых в интересах органов

власти на базе сетей передачи данных общего пользования.

3.1.6. Требования к устойчивости сетей связи при оказании услуг

связи органам власти.

3.1.6.1. Требования к устойчивости сетевой инфраструктуры,

задействуемой при оказании услуг связи органам власти, в том

числе:

3.1.6.1.1. Требования к устойчивости сетевой инфраструктуры

(или ее технологических фрагментов), обеспечивающей

организацию и функционирование каналов связи.


при оказании услуг телефонной связи.


при оказании услуг передачи данных.

3.1.6.2. Требования по проектированию сетей связи в части

вопросов обеспечения устойчивости.

3.1.6.3. Требования к организации технической эксплуатации сетей

связи в части вопросов обеспечения устойчивости.

3.1.6.4. Требования к организации технической поддержки оказания

слуг связи органам власти.

3.1.6.5. Требования к организации учета технических ресурсов,

выделяемых и/или задействуемых в процессе оказания услуг

органам власти.

3.1.6.6. Требования к организации контроля параметров

устойчивости сети и параметров надежности оказания услуг связи

органам власти.

3.1.7. Требования к безопасности функционирования сетей связи при

оказании услуг органам власти.

3.1.7.1. Требования к характеристикам услуг связи, оказываемых

органам власти, в части защиты информации, с учетом классов

защищенности информационных систем, для обеспечения

функционирования которых используются данные услуги связи

3.1.7.2. Требования к защите от воздействий и DDoS-атак на

элементы сетей связи, задействуемые для оказания услуг связи

органам власти, в том числе требований к фильтрации и блокировке

трафика, а также к системам обнаружения и предотвращения

воздействий.

3.1.7.3. Требования к безопасности функционирования сетей связи

при оказании органам власти услуг доступа к российскому

государственному сегменту сети Интернет.

3.1.7.4. Требования к безопасности функционирования сетей связи,

используемых для организации взаимодействия государственных

информационных систем, а также информационных систем органов

власти.

3.1.8. Требования к оборудованию сетей связи органов власти в части

вопросов обеспечения устойчивости функционирования сетей связи и

информационной безопасности.

3.1.8.1. Требования к оборудованию систем передачи в части

вопросов обеспечения устойчивости функционирования сетей связи

и информационной безопасности.

3.1.8.2. Требования к оборудованию маршрутизации и коммутации

пакетов в части вопросов обеспечения устойчивости

функционирования сетей связи и информационной безопасности.

3.1.8.3. Требования к оборудованию, применяемому для оказания

услуг телефонной связи в части вопросов обеспечения

устойчивости функционирования сетей связи и информационной


3.1.8.4. Требования к оборудованию средств криптографической

защиты информации.

3.2. Требования к качеству работ и оформлению результатов работ

Документальное оформление отчетных материалов должно

производиться в соответствии с требованиями следующих стандартов:

- ГОСТ 7.32-2001 «Система стандартов по информации,

библиотечному и издательскому делу. Отчёт о научно-

исследовательской работе. Структура и правила оформления»;

- ГОСТ 15.101-98 «Система разработки и постановки продукции

на производство. Порядок выполнения научно-исследовательских

работ»;

- РД 50-34.698-90 «Методические указания. Информационная

технология. Комплекс стандартов и руководящих документов на

автоматизированные системы. Автоматизированные системы.

Требования к содержанию документов».

Оформление проектов нормативных правовых актов,

разработанных в рамках настоящей работы, и состав документов,

входящих в каждый из них, должны соответствовать требованиям

«Правил подготовки нормативных правовых актов федеральных

органов исполнительной власти и их государственной регистрации»,

утвержденных постановлением Правительства Российской Федерации

от 13 августа 1997 г. № 1009.

3.3. Исходные данные для выполнения работ

Исходными данными для проведения работы являются:

1) Действующие постановления, распоряжения Правительства

Российской Федерации, нормативные правовые акты отрасли связи,

а также проекты таких актов, полученные Исполнителем из

открытых источников, либо предоставленные Заказчиком.

2) Информация о модели угроз и нарушителя для операторов связи,

полученная в рамках реализации мероприятия 05.01.001.001.001

программы «Цифровая экономика Российской Федерации».

3) При выполнении работы могут учитываться методические

материалы и стандарты международных организаций связи,

оказывающие влияние устойчивость и безопасность

функционирования сетей электросвязи.

4) При выполнении работы должны учитываться иные источники

правовой, технической и технологической информации.

4. Требования к гарантийному сроку и объему предоставления гарантий

качества работы

Качество выполняемых Исполнителем работ должно соответствовать

требованиям, установленным в Техническом задании, а также требованиям,

обычно предъявляемым к работам соответствующего рода. Результат

выполненных работ должен в момент передачи Заказчику обладать

свойствами, указанными в Техническом задании, и свойствами,

определенными обычно предъявляемыми требованиями к такому виду работ.

Если законом, иными правовыми актами или в установленном ими

порядке предусмотрены обязательные требования к работам, выполняемым

по Контракту, Исполнитель обязан выполнять работы, соблюдая эти

обязательные требования.

К обязательным требованиям, в том числе относятся: требования к

качеству результата, обеспечивающие его безопасность для жизни и здоровья

населения, охрану окружающей среды.

Исполнитель принимает на себя обязательства по гарантии качества

результатов, полученных при выполнении работ. Срок предоставления

гарантии качества - 36 (тридцать шесть) месяцев с даты приемки результатов

работ Заказчиком (дата подписания Заказчиком Финального Акта сдачи-

приемки выполненных работ).

В гарантии качества, предоставляемые Исполнителем, должны входить

выполняемые по письменному запросу Заказчика в гарантийный период

работы по коррекции текста разработанных проектов документов, а также

работы по участию в необходимых согласованиях проектов нормативных

правовых актов, разработанных по результатам выполнения настоящей

работы. В период гарантийного срока Исполнитель безвозмездно выполняет

указанные выше работы, срок выполнения которых устанавливается по

согласованию между Заказчиком и Исполнителем, но не должен превышать

30 календарных дней.

5. Место и условия выполнения работ

Результаты выполненной работы предоставляются Заказчику в

соответствии с перечнем документов, определенным в пункте 6 настоящего

технического задания.

Место проведения работ: по адресу Исполнителя, Заказчика и иных

привлекаемых в рамках поставленных задач организаций.

6. Сроки (периоды) выполнения работ

№

этапа

Наименование этапов

работ

Отчетная

документация

по этапу

Срок

окончания

работ

Стоимость

выполнения

работ

1. Требования к

устойчивости и

безопасности сетей связи и

оборудования органов

государственной власти (за

исключением высших

органов государственной

власти) и организаций

различных

организационно-правовых

форм

Июнь

2019

1.1 Анализ особенностей

оказания услуг связи

органам власти в части

задач обеспечения


информационной


Отчет о

выполнении

работ в

соответствии

с пунктами

3.1.1. – 3.1.3.

настоящего

технического

задания

1.2 Требования к


безопасности сетей связи

при оказании услуг связи

органам власти

Отчет о


работ в


с пунктами

3.1.4. – 3.1.7.



задания

1.3 Требования к

оборудованию сетей связи

органов власти в части

вопросов обеспечения

Отчет о


работ в


устойчивости

функционирования сетей

связи и информационной

безопасности

с пунктом

3.1.8.



задания

1.4 Семинар по обсуждению

проекта требований к


безопасности сетей связи и

оборудования органов

государственной власти (за

исключением высших

органов государственной

власти) и организаций

различных

организационно-правовых

форм. Условия проведения

семинара устанавливаются

пунктом 7 настоящего

технического задания.

Результаты выполненной работы оформляются в соответствии с

требованиями, определенными в пункте 3.2 настоящего технического

задания.

Результаты выполненной работы предоставляются Заказчику на

бумажном и электронном носителях в двух экземплярах на каждом носителе

по адресу Заказчика.

1


На выполнение работ по проведению анализа потребностей рынка в регулировании

деятельности операторов связи промышленного Интернета; по разработке требований

к операторам промышленного Интернета; по проведению анализа и оценки адекватности рискам и

угрозам информационной безопасности существующих стандартов киберфизических систем,

включая «Интернет вещей»; по разработке проектов стандартов безопасности

для киберфизических систем, включая «Интернет вещей», а также – требований и методик проверки

киберфизических систем, включая «Интернет вещей».

(Шифр мероприятий: 05.02.002.003.001; 05.02.002.003.002)

1. Актуальность работ

В настоящее время рынок промышленного «интернета вещей» (далее – IoT) на территории

Российской Федерации ежегодно увеличивается, к 2022 году прогнозируется трехкратный рост

объема рынка. Наиболее активно технологии IoT применяются в следующих отраслях:

Энергетика, системы энергоснабжения и коммунальные службы;

Транспорт и логистика (в т.ч. беспилотный транспорт);

Промышленность (производство машин и оборудования);

Банковская деятельность, торговля и финансы;

Здравоохранение, страховые компании;

Безопасность, МЧС;

Госсектор.

На сегодняшний день инциденты с устройствами интернета вещей входят в тройку угроз с

наибольшим финансовым ущербом для компаний. Это относится к компаниям как малого и

среднего бизнеса, так и к большим корпорациям. Сбои в работе операторов IoT или хакерские атаки

при наличии уязвимостей в киберфизических системах могут влиять на объекты критической

информационной инфраструктуры. Причем негативный эффект возможен по всем категориям

значимости: социальной (массовое отключение электроснабжения, транспортный коллапс),

политической (прекращение функционирование органов государственной власти), экономической

(финансовый ущерб бюджету РФ, за счет финансовых потерь крупных финансовых структур,

приведших к уменьшению отчисления налогов), экологической (авария на производственных

предприятиях или в процессе транспортировки опасных грузов).

Одной из проблем в сфере кибербезопасности индустриальных IoT-устройств до сих пор

остается отсутствие единых требований к функционированию операторов промышленного

Интернета стандартов безопасности киберфизических систем. Существует необходимость

определения основных понятий и терминов, разработки методов и принципов оценки и снижения

риска, способствующих обеспечению физической и экономической безопасности населения при

предоставлении услуг операторами IoT.

С учетом изложенного задачи по созданию и унификации требований к операторам

промышленного Интернета и стандартизации требований к информационной безопасности

киберфизических систем являются актуальными.

2

2. Основания для осуществления работ

2.1. Нормативные правовые основания для осуществления работ

Паспорт федерального проекта «Информационная безопасность» национальной программы

«Цифровая экономика», утвержденный на заседании президиума Правительственной комиссии по

цифровому развитию, использованию информационных технологий для улучшения качества жизни

и условий ведения предпринимательской деятельности (протокол от 6 мая 2019 г. № 8).

2.2. Цель выполняемых работ

Разработать требования к операторам промышленного Интернета.

Разработать проекты стандартов безопасности киберфизических систем, включая устройства

«Интернета вещей» а также требования и методики проверки киберфизических систем, включая

«Интернет вещей» на соответствие закону «О безопасности критической информационной

инфраструктуры Российской Федерации» другим требованиям безопасности.

2.3. Задачи

2.3.1. Проведение анализа потребностей рынка в регулировании деятельности операторов

связи промышленного Интернета. По результатам анализа разработать требования к операторам

промышленного Интернета и проект НПА, содержащий санкции и штрафы за нарушения

требований к операторам промышленного Интернета, включая «Интернет вещей».

2.3.2. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем, включая «Интернет вещей». По

результатам разработаны проекты стандартов безопасности киберфизических систем, включая

«Интернет вещей», проект НПА, содержащий санкции и штрафы за нарушения соответствия

стандартам безопасности киберфизических систем, включая «Интернет вещей», а также -

требования и методики проверки киберфизических систем, включая «Интернет вещей» на

соответствие закону «О безопасности критической информационной инфраструктуры Российской

Федерации» другим требованиям безопасности.

2.4. Результаты работ

2.4.1. Проведен анализ потребностей рынка в регулировании деятельности операторов связи

промышленного Интернета.

2.4.2. Разработаны требования или правила регулирования информационной безопасности для

операторов связи промышленного Интернета (беспилотных систем и т.д.).

2.4.3. Разработан проект НПА, содержащий санкции и штрафы за нарушения требований к

операторам промышленного Интернета, включая «Интернет вещей».

2.4.4. Проведен анализ и оценка адекватности рисками угрозам информационной безопасности

существующих стандартов киберфизических систем, включая «Интернет вещей».

2.4.5. Разработаны проекты стандартов безопасности киберфизических систем.

2.4.6. Разработан проект НПА, содержащий санкции и штрафы за нарушения соответствия

стандартам безопасности киберфизических систем, включая «Интернет вещей»

3

2.4.7. Разработаны требования и методики проверки киберфизических систем, включая

«Интернет вещей» на соответствие закону «О безопасности критической информационной

инфраструктуры Российской Федерации» другим требованиям безопасности.

3. Перечень условных обозначений и сокращений

ГОСТ Государственный стандарт;

ЕСКД Единая система конструкторской документации;

МЭК Международная электротехническая комиссия;

РД Руководящий документ;

ФЗ Федеральный закон;

ФСТЭК России Федеральная служба по техническому и экспортному контролю.

4. Термины и определения

Безопасность

киберфизических систем

Экологическая, национальная, промышленная, пожарная,

информационная, экономическая, военная, внутренняя,

внешняя безопасность киберфизических систем;

Интернет вещей (IoT) Сеть физических объектов, содержащих встроенный механизм

взаимного обмена информацией о состоянии физических

объектов или окружающей среды;

Оператор связи Юридическое лицо или индивидуальный предприниматель,

оказывающие услуги связи на основании соответствующей

лицензии;

Оператор Интернета вещей

(Оператор IoT)

Оператор связи, который оказывает услуги связи в сети

Интернета вещей;

Оператор промышленного

Интернета (Оператор связи

промышленного Интернета,

Оператор IIoT)

Оператор связи, который оказывает услуги связи в сетях

промышленного Интернета;

Промышленный интернет

(индустриальный интернет,

промышленный интернет

вещей, IIoT)

Концепция построения вычислительных сетей,

инфокоммуникационных инфраструктур, подразумевающая

подключение к компьютерным сетям любых небытовых

устройств, оборудования, датчиков, сенсоров,

автоматизированной системы управления технологическим

4

процессом (АСУ ТП), а также интеграцию данных элементов

между собой;

Киберфизическая система Информационно-технологическая концепция,

подразумевающая интеграцию вычислительных ресурсов в

физические сущности любого вида, включая биологические и

рукотворные объекты.

Рынок промышленного

интернета

Оборудование, роботизированные системы, датчики, ПО и

платформы, инфраструктура и сети, интеграция и другие

услуги, используемые для построения и эксплуатации объектов

промышленного интернета вещей;

Сеть связи промышленного

Интернета (сеть

промышленного Интернета)

Сеть связи, используемая для построения и эксплуатации

систем и объектов промышленного Интернета;

Термины и определения, приведенные в данном разделе, будут уточнены в ходе проведения

работ.

5. Перечень нормативных правовых актов

При выполнении работ Исполнитель должен руководствоваться требованиями действующих

нормативно правовых актов в Российской Федерации в том числе постановлений, распоряжений

Правительства Российской Федерации, нормативно правовых актов отрасли связи, а также проектов

таких актов, полученных Исполнителем из открытых источников, либо предоставленных

Заказчиком, национальных стандартов в том числе:

Федеральный закон от 07.07.2003 № 126-ФЗ «О Связи»;

Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании»;

Федеральный закон от 26.07.2017г. № 187-ФЗ «О безопасности критической

информационной инфраструктуры Российской Федерации»;

Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об

утверждении правил категорирования объектов критической информационной

инфраструктуры российской федерации, а также перечня показателей критериев значимости

объектов критической информационной инфраструктуры российской федерации и их

значений;

Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении требований по

обеспечению безопасности значимых объектов критической информационной инфраструктуры

российской федерации»;

Федеральный закон от 29.06.2015 «О стандартизации в Российской Федерации»;

Порядок разработки основополагающих национальных стандартов РФ, правил

стандартизации и рекомендаций по стандартизации, внесения в них изменений, порядок

редактирования и подготовки к утверждению, порядок их утверждения и отмены,

утвержденный приказом Минпромторга России от 6 июля 2017г. №2170;

5

Порядок проведения экспертизы проектов документов, разрабатываемых и применяемых в

национальной системе стандартизации, утвержденным приказом Росстандарта от 5 мая 2016г.

№547;

Стратегия развития информационного общества в Российской Федерации на 2017 - 2030

годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203 «О

Стратегии развития информационного общества в Российской Федерации на 2017 - 2030

годы»;

Указ Президента РФ от 07.05.2018 № 204 (ред. от 19.07.2018) «О национальных целях и

стратегических задачах развития Российской Федерации на период до 2024 года»;

"Методические указания по разработке планов мероприятий по направлениям реализации

программы «Цифровая экономика Российской Федерации» (утв. протоколом заседания

подкомиссии по цифровой экономике Правительственной комиссии по использованию

информационных технологий для улучшения качества жизни и условий ведения

предпринимательской деятельности от 29.11.2017 №7);

«Базовая модель угроз безопасности информации в ключевых системах информационной

инфраструктуры» (утв. ФСТЭК России 18.05.2007);

Серия ГОСТ Р ИСО/МЭК 27XXX «Информационная технология. Методы и средства

обеспечения безопасности. Системы менеджмента информационной безопасности»;

ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства

обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности

информационных и телекоммуникационных технологий»;

ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения»;

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;

ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в

организации. Основные термины и определения»;

ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании

технологий виртуализации. Общие положения»;

РД 50-34.698.90 «Методические указания. Информационная технология. Комплекс

стандартов на автоматизированные системы. Автоматизированные системы. Требования к

содержанию документов»;

РД. «О мерах по обеспечению информационной безопасности Российской Федерации при

использовании информационно-телекоммуникационных сетей международного

информационного обмена». Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015);

Проект изменений в Федеральный закон от 27.07.2006 № ФЗ-149 «Об информации,

информационных технологиях и о защите информации» № 571124-7.

Также Исполнитель должен учитывать требования международных стандартов в том числе:

ISO/IEC 20546 «Информационные технологии – Большие данные – Определение и

словарь»;

Серия ISO/IEC 20547 «Информационные технологии – Базовая архитектура больших

данных»;

ISO/IEC 20924:2018 «Information technology -- Internet of Things (IoT) -- Vocabulary».

6

6. Требования к выполняемым работам

Требования к выполняемым работам разделены в соответствии с задачами, исполнение

которых необходимо для достижения цели.

6.1. Проведение анализа потребностей рынка в регулировании деятельности операторов

промышленного Интернета. По результатам анализа разработать требования к операторам


6.1.1. Этапы выполнения работ

Наименование этапов и сроки выполнения работ представлены в таблице 1.

Таблица 1 – Наименования этапов и сроки выполнения работ

№ Наименование этапов работ Срок выполнения

работ по этапу

1 Определение целей, субъектов, объектов и области действия стандартов рынка

промышленного Интернета, включая «Интернет вещей» 10/2019

2 Анализ государственного регулирования деятельности рынка промышленного

Интернета, включая «Интернет вещей» 10/2019

3* Разработка требований к регулированию деятельности операторов промышленного

интернета. 12/2019

4* Лицензирование деятельности 12/2019

5* Предоставление услуг операторов промышленного Интернета 12/2019

6* Обеспечение защиты прав пользователей операторскими услугами в области

промышленного Интернета 12/2019

7* Ответственность за соблюдение требований и стандартов 12/2019

(*) Состав работ, выполняемых в рамках данных этапов уточняется на основании результатов этапов

1-2.

6.1.2. Описание работ

Работы проводятся в шесть этапов:

Этап I. Определение целей, субъектов, объектов и области действия стандартов рынка

промышленного Интернета, включая «Интернет вещей»

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка общих положений требований и стандартов;

1.1. Формулировка целей разрабатываемых стандартов и требований;

1.2. Определение основных понятий, используемых в разрабатываемых требованиях и

стандартах (в т.ч. киберфизические системы, интернет вещей, промышленный интернет);

1.3. Уточнение сферы действия стандартов;

1.4. Анализ существующего законодательства Российской Федерации в области

промышленного Интернета, включая «Интернет вещей»;

7

1.5. Анализ результатов, полученных в рамках ранее выполненных работ на территории

Российской Федерации по данной тематике и координация с осуществляемыми в

настоящий момент проектами и инициативам.

2. Анализ основ деятельности, осуществляемой в рамках функционирования

промышленного Интернета, включая «Интернет вещей».

2.1. Услуги, предоставляемые в рамках функционирования промышленного Интернета,

включая «Интернет вещей».

2.2. Категории субъектов, предоставляющих услуги в рамках функционирования


2.3. Категории операторов сетей и средств связи промышленного Интернета, включая

«Интернета вещей».

2.4. Категории потребителей услуг промышленного Интернета, включая «Интернет

вещей».

2.5. Организация деятельности, осуществляемой в рамках функционирования

промышленного Интернета, включая «Интернет вещей»:

- при создании объектов промышленного Интернета, включая «Интернет вещей»

(например, разработка (в том числе системы безопасности), наполнение, реализация,

испытание, лицензирование, установка);

- при эксплуатации объектов промышленного Интернета, включая «Интернет вещей»

(например, верификация, поддержка, обеспечение информационной безопасности,

модернизация, контроль);

- при выводе из эксплуатации объектов промышленного Интернета, включая «Интернет

вещей» (например, изменение назначения, утилизация).

2.6. Особенности деятельности, осуществляемой при создании и эксплуатации сетей

связи промышленного Интернета на приграничной территории Российской Федерации.

2.7. Регистрация права собственности и других имущественных прав на объекты


2.8. Состав и структура рынка промышленного Интернета, включая «Интернет вещей».

2.9. Анализ потребностей рынка в регулировании операторов связи промышленного

Интернета, включая «Интернет вещей» в разрезе субъектов рынка.

3. Анализ и классификация типов сетей связей промышленного Интернета.

3.1. По территориальному признаку (районные, городские, субъектовые, федеральные и

иные).

3.2. По функциональному назначению (бытовые (например, умный дом), хозяйственные

(например, умный город), технологические (например, управление производством),

специальные (например, управление автомобилем или беспилотным летательным

аппаратом) и иные).

3.3. По ведомственной принадлежности (здравоохранение, военные, коммунальные,

транспортные и иные).

3.4. По среде передачи данных (проводные (например, в волоконно-оптических линиях

связи, в витой паре или в линиях электропередач), беспроводные (например, радиоканал) и

иные).

8

3.5. По типам подключаемых киберфизических систем («Интернет вещей»,

автоматизированные системы управления технологическим процессом,

автоматизированные системы управления производством, беспилотные летательные

аппараты, системы военного назначения, робототехнические системы и иные).

3.6. По типу управления (автоматические, автоматизированные и иные).

3.7. По иным характеристикам.

Результатом выполненных по этапу работ будет являются следующие разделы требований:

Общие положения;

Виды деятельности, осуществляемой в рамках промышленного Интернета и подпадающей

под данное регламентирование, а также субъекты и объекты промышленного Интернета,

включая «Интернет вещей»;

Перечень потребностей рынка в регулировании операторов связи промышленного

Интернета, включая «Интернет вещей» в разрезе субъектов рынка.

Классификация типов сетей связи промышленного Интернета, включая «Интернет вещей».

Этап II. Анализ государственного регулирования деятельности рынка промышленного

Интернета, включая «Интернет вещей»


1. Анализ существующих нормативно правовых актов, регулирующих деятельность рынка

промышленного Интернета на территории Российской Федерации.

1.1. Анализ существующих нормативных правовых актов, регулирующих деятельность

рынка промышленного Интернета зарубежных государств.

1.2. Анализ существующих нормативных правовых актов, регулирующих деятельность

рынка промышленного Интернета на территории Российской Федерации.

1.3. Анализ неохваченных законодательством Российской Федерации аспектов рынка


2. Подготовка перечня стандартов безопасности киберфизических систем с разбиением в

соответствии с ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в

стандарты.» название на:

основополагающие стандарты на безопасность;

групповые стандарты на безопасность;

стандарты на безопасность продукции;

стандарты на продукцию, содержащие аспекты безопасности.

Результатом работ по этапу должны являться:

Аналитический обзор о текущих положениях и нормативно правовых актах, регулирующих

в настоящий момент деятельность операторов промышленного Интернета.

Перечень стандартов безопасности киберфизических систем с разбиением в соответствии с

ГОСТ Р 51898-2002.

9

Этап III. Разработка требований к регулированию деятельности операторов

промышленного интернета.

1. Организация регулирования деятельности операторов промышленного интернета.

2. Регулирование использования радиочастотного спектра.

3. Распределение радиочастотного спектра, используемого операторами промышленного

Интернета.

4. Выделение полос радиочастот и присвоение радиочастот или радиочастотных каналов.

5. Контроль за излучениями радиоэлектронных средств или радиочастотных каналов,

используемых операторами промышленного Интернета.

6. Регулирование ресурсов нумерации.

7. Федеральный государственный надзор в области промышленного Интернета, включая

«Интернет вещей».

8. Регулирование тарифов на услуги, предоставляемые в рамках функционирования


9. Регулирование использование (применения) средств криптографической защиты

информации и оценки встраивания криптографических механизмов защиты в объекты


10. Контроль за обеспечением безопасности объектов промышленного Интернета, в том

числе киберфизических систем.

Результатом работ по этапу является:

Раздел требований, регламентирующий правила, регулирующие деятельность операторов

промышленного Интернета на территории Российской Федерации.

Этап IV. Лицензирование деятельности


1. Разработка требований к лицензированию деятельности в области организации сетей

связи промышленного Интернета и оценка соответствия.

1.1. Общие принципы лицензирования деятельности в области организации и

эксплуатации сетей связи промышленного Интернета.

1.2. Разработка перечня осуществления лицензируемой деятельности в области оказания

услуг связи для промышленного Интернета.

1.3. Требования к заявлению о предоставлении лицензии на осуществление деятельности

оператора промышленного Интернета.

1.4. Правила торгов (аукционов, конкурсов) на получение лицензии оператора


1.5. Порядок рассмотрения заявления о предоставлении лицензии и выдаче лицензии

оператору промышленного Интернета.

1.6. Определение сроков действия лицензии оператора промышленного Интернета.

1.7. Определение условий отказа в выдаче лицензии.

1.8. Переоформление лицензии оператора промышленного Интернета.

1.9. Внесение изменений и дополнений в лицензию оператора промышленного

Интернета.

10

1.10. Приостановление действий лицензии.

1.11. Аннулирование лицензии.

1.12. Формирование и ведение реестра лицензий на операторскую деятельность в области


1.13. Подтверждение соответствия средств связи промышленного Интернета и

предоставляемых оператором услуг.

1.14. Декларирование соответствия и регистрация деклараций о соответствии требованиям

к операторской деятельности в области промышленного Интернета.

Результатом работ по этапу должен являться раздел требований, описывающий

лицензирование деятельности операторов промышленного Интернета на территории


Этап V. Предоставление услуг операторов промышленного Интернета


1. Разработка регламентов оказание услуг связи в области промышленного интернета.

1.1. Основные правила оказания услуг связи в области промышленного Интернета.

1.2. Использование проводной связи, радиосвязи, линий электропередач и иных каналов

связи в рамках оказания услуг промышленного Интернета.

1.3. Особенности предоставления услуг промышленного Интернета юридическим и

физическим лицам.

1.4. Использование языков и алфавитов при оказании услуг связи в области


1.5. Особенности оказание услуг промышленного Интернета, включая «Интернет вещей»

для нужд органов государственной власти, нужд обороны страны, безопасности

государства и обеспечения правопорядка.

1.6. Базы данных об абонентах операторов промышленного Интернета.

1.7. Оплата услуг операторов промышленного Интернета.

1.8. Подача жалоб и предъявление претензий к операторам промышленного Интернета и

их рассмотрение.

1.9. Лица, имеющие право на предъявление претензий к операторам промышленного

Интернета.

2. Разработка требований к операторам промышленного Интернета по обеспечению

информационной безопасности для каждого типа сетей связи промышленного Интернета, а

также по интеграции объектов промышленного Интернета с государственной системой

обнаружения, предупреждения и ликвидации последствий компьютерных атак на

информационные ресурсы Российской Федерации.

Результатом работ по этапу должен являться раздел требований, регламентирующий

предоставление услуг операторов промышленного Интернета, включая «Интернет вещей» на

территории Российской Федерации.

11

Этап VI. Обеспечение защиты прав пользователей операторскими услугами в области

промышленного Интернета


1. Разработка требований по защите прав пользователей услуг операторов промышленного

Интернета, включая «Интернет вещей» на территории Российской Федерации.

1.1. Права пользователей услугами операторов промышленного Интернета, включая


1.2. Требования к конфиденциальности данных, передаваемых в сетях промышленного

Интернета, требования к обезличиванию персональных данных пользователей услуг

операторов промышленного Интернета, включая «Интернет вещей», требования к

безопасности информационных технологий массовой обработки данных пользователей

услуг операторов промышленного Интернета, включая «Интернет вещей» и иные

требования.

1.3. Обязанности операторов промышленного Интернета и ограничение прав

пользователей услугами операторов промышленного Интернета при проведении

оперативно-розыскных мероприятий по обеспечению безопасности Российской Федерации

и осуществлении следственных действий.

2. Разработка регламента управления сетью связи операторов промышленного Интернета в

чрезвычайных ситуациях и в условиях чрезвычайного положения.

Результатом работ по этапу должен являться разделы требований, описывающие требования

к защите прав пользователей услуг операторов промышленного Интернета, включая

«Интернет вещей» на территории Российской Федерации и регламентирующие управление

сетью связи операторов промышленного Интернета, включая «Интернет вещей» в

чрезвычайных ситуациях и в условиях чрезвычайного положения.

Этап VII. Ответственность за соблюдение требований и стандартов


1. Разработка проекта положений об ответственность за нарушение требований

к операторам промышленного Интернета, включая «Интернет вещей».

Результатом работ по этапу должен быть проект положений, содержащий санкции и штрафы

за нарушения требований к операторам промышленного Интернета, включая «Интернет

вещей».

6.1.3. Результаты работ

По окончании работ Исполнитель формирует комплект результатов исследования собранных

материалов, содержащих:

Аналитический обзор о текущих положениях и нормативно правовых актах, регулирующих

в настоящий момент деятельность операторов промышленного Интернета;

Требования к операторам промышленного Интернета (проект ГОСТ и/или НПА);

Проект НПА, содержащий санкции и штрафы за нарушения требований к операторам


12

6.2. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем, включая «Интернет

вещей». По результатам разработаны проекты стандартов безопасности киберфизических

систем, включая «Интернет вещей», а также - требования и методики проверки

киберфизических систем, включая «Интернет вещей».

6.2.1. Этапы выполнения работ

Наименование этапов и сроки выполнения работ представлены в таблице 2.

Таблица 2 – Наименования этапов и сроки выполнения работ

№ Наименование этапов работ Срок выполнения

работ по этапу

1 Анализ киберфизических систем 10/2019

2 Разработка перечня стандартов безопасности киберфизических систем 10/2019

3 Подготовительная работа для каждого стандарта включенного в перечень стандартов 10/2019

4* Разработка проектов стандартов безопасности 12/2019

5* Разработка требований по проведению проверок киберфизических систем 12/2019

6* Ответственность за соблюдение требований и стандартов 12/2019

(*) Состав работ, выполняемых в рамках данных этапов уточняется на основании результатов этапов

1-3.

6.2.2. Описание работ

Работы проводятся в шесть этапов:

Этап I. Анализ киберфизических систем


1. Определение понятия киберфизическая система, категорирование и типизация

киберфизических систем;

2. Анализ существующих киберфизических систем;

2.1. Анализ структуры киберфизических систем, развернутых на территории Российской

федерации.

2.2. Анализ структуры киберфизических систем, развернутых за пределами территории

Российской федерации.

3. Анализ перспективных киберфизических систем;

4. Анализ пользователей киберфизических систем;

4.1. По отраслям и видам хозяйственной деятельности.

4.2. По целям и задачам внедрения киберфизических систем.

13

4.3. По требованиям к скорости и надежности каналов связи в системе.

4.4. По количеству используемых оконечных устройств (физических сущностей).

4.5. По требованиям к степени защиты обрабатываемой информации.

4.6. По типам используемых физических сущностей, интегрируемых в киберфизическую

систему (природные, рукотворные, биологические или иные объекты).

5. Анализ ареалов размещения киберфизических систем;

5.1. По климатическим параметрам.

5.2. По параметрам доступности.

5.3. По параметрам среды (подземные, подводные, воздушные и т.д.).

5.4. По наличию негативных факторов, влияющих на каналы связи.

6. Анализ каналов связи киберфизических систем;

6.1. По средам передачи данных.

6.2. По типам приемо-передающего оборудования.

6.3. По параметрам скорости, надежности и защищенности.

6.4. По параметрам помехозащищенности и зависимости от климатических или иных

воздействий.

7. Анализ физических сущностей (оконечных устройств) включаемых в киберфизические

системы по типам;

7.1. Природные.

7.2. Рукотворные.

7.3. Биологические.

7.4. Иные.

8. Анализ существующих технологий передачи данных и возможность их применения для


9. Тенденция развития технологий передачи данных и возможность их применения для


10. Анализ рисков и угроз информационной безопасности, характерных для каждого типа

киберфизической системы;

11. Анализ нарушителей, характерных для каждого типа киберфизической системы;

12. Анализ требований функциональной безопасности для каждого типа киберфизических

систем;

13. Анализ требований к обеспечению информационной безопасности для каждого типа

киберфизических систем.

14. Анализ результатов, полученных в рамках ранее выполненных работ на территории

Российской Федерации по данной тематике и координация с осуществляемыми в настоящий

момент проектами и инициативам.

Результатом выполненных по этапу работ будет являться:

Аналитический обзор типов киберфизических систем и текущего уровня и перспектив

развития киберфизических систем в Российской федерации и за рубежом.

Альбом типовых технических решений по построению киберфизических систем на

территории Российской Федерации на основе существующих и перспективных технологий

14

передачи данных с типовыми моделями угроз и нарушителей для каждой из указанных

киберфизических систем.

Требования к обеспечению функциональной и информационной безопасности для каждого

типа киберфизических систем.

Этап II. Разработка перечня стандартов безопасности киберфизических систем


1. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем;

1.1. Анализ существующих стандартов киберфизических систем.

1.2. Оценка существующих рисков и угроз информационной безопасности, характерных

для киберфизических систем.

1.3. Анализ и оценка адекватности рискам и угрозам информационной безопасности

существующих стандартов киберфизических систем.

2. Определение адресатов (исполнителей стандарта) для каждого стандарта в перечне;

2.1. Определение списка пользователей стандарта.

2.2. Определение типов использования стандарта.

2.3. Формирование списка требований к стандарту от пользователей, включая тех,

которые:

2.3.1. Обеспечивают выполнение требований стандарта;

2.3.2. Испытывают на себе его воздействие.

3. Определение основных целей стандарта для каждого стандарта в перечне.

3.1. Список основных аспектов безопасности.

3.2. Возможность использования стандарта для испытаний.

3.3. Возможность стандарта служить основой для подтверждения соответствия.

Результатом работ по этапу должны являться перечень стандартов безопасности

киберфизических систем с указанием для каждого стандарта в перечне:

Типа стандарта;

Адресатов (исполнителей) стандарта;

Типа использования стандарта;

Списка требований к стандарту;

Списка основных аспектов безопасности.

Этап III. Подготовительная работа для каждого стандарта, включенного в перечень

стандартов


1. Определение содержания стандарта;

1.1. Описание аспектов безопасности, которые должны быть охвачены стандартом.

1.2. Сбор необходимой информации.

1.3. Подготовка плана будущего стандарта

1.4. Подготовка заключения специалистов, в котором должны быть отражены сведения,

требующиеся для разработки стандарта, в том числе:

15

1.4.1. Сведения о продукции, процессе или услуге.

1.4.2. Сведения об инцидентах.

1.4.3. Информация от потребителей на основе опыта использования продукции,

процесса или услуги.

1.4.4. Сведения о доступных защитных мерах.

1.4.5. Сведения о перспективных разработках или образцах продукции, процесса

или услуги.

1.4.6. Правовые ограничения. 2. Рассмотрение аспектов безопасности;

2.1. Назначение.

2.2. Возможные типовые ошибки.

2.3. Способность к действию при ожидаемых условиях использования.

2.4. Совместимость с окружающей средой.

2.5. Эргономические факторы.

2.6. Безотказность.

2.7. Ремонтопригодность и удобство обслуживания.

2.8. Долговечность.

2.9. Сохраняемость.

2.10. Информационная безопасность.

2.11. Возможность утилизации (включая любые необходимые инструкции).

2.12. Специальные потребности пользователей продукции, процесса или услуги,

например, детей, пожилых людей, групп людей с ограниченными возможностями.

2.13. Характеристики отказов.

2.14. Маркировка и информация.

3. Оценка рисков для каждого аспекта безопасности.

Результатом работ по этапу должен быть комплект аналитических записок для каждого

стандарта в перечне, содержащих информацию, необходимую для разработки проекта

стандарта безопасности, в том числе:

Полный список аспектов безопасности, охватываемый стандартом;

План стандарта;

Заключения специалистов (при необходимости);

Подробное рассмотрение всех аспектов безопасности охватываемых стандартом.

Этап IV. Разработка проектов стандартов безопасности


1. Разработка общих положений, удовлетворяющих следующим требованиям:

1.1. Стандарт должен содержать требования, которые важны для устранения опасности

или снижения степени риска возникновения опасности.

1.2. Все требования следует выражать в терминах защитных мер.

1.3. Требования по защитным мерам следует излагать технически правильно, точным и

понятным языком.

16

1.4. Требования по защитным мерам должны быть проверяемыми. Стандарты должны

содержать методики проверки выполнения этих требований.

2. Разработка требований безопасности использования стандартов в соответствии со

следующими принципами:

2.1. Стандарт должен определять, какую информацию по безопасности необходимо

предоставить различным пользователям, имеющим дело с системой.

2.2. Там, где безопасность системы в значительной степени зависит от безопасных

условий работы и где эти условия не являются самоочевидными, должно быть дано

описание безопасных условий работы, которые значительно уменьшают риск.

2.3. Следует избегать излишней или не являющейся необходимой информации, так как

это ведет к уменьшению ценности той информации, которая существенна для обеспечения


Результатом работ по этапу должен быть комплект документов для каждого стандарта из

перечня стандартов безопасности, состоящий из:

Проекта стандарта безопасности;

Аналитической записки.

Разработанные проекты стандартов должны быть согласованы с техническими комитетами

по стандартизации:

ТК 362 «Защита информации»;

ТК 26 «Криптографическая защита информации».

Этап V. Разработка требований и методик по проведению проверок киберфизических

систем


1. Разработка требований по проверке каждого типа киберфизических систем;

1.1. Виды проверок и лица, привлекаемые для их проведения.

1.2. Периодичность проверок.

1.3. Этапы проверок.

1.4. Ограничения при проверках.

2. Разработка методики проведения проверок для каждого типа киберфизических систем.

2.1. Методы и технологии, применяемые при проведении исследований.

2.2. Инструменты, используемые при проведении проверок.

2.3. Объекты, исследуемые в рамках проверок.

2.4. Этапы исследований, проводимых в рамках проверок.

2.5. Результаты проверок.

2.6. Контроль за исполнением результатов проверок.

Результатом работ по этапу должны быть:

Требования по проведению проверок киберфизических систем.

Методики проведения проверок для каждого типа киберфизических систем.

17

Этап VI. Ответственность за соблюдение требований и стандартов


1. Разработка проекта положений об ответственности за нарушение требований стандартов

безопасности киберфизических систем.

Результатом работ по этапу должен быть проект НПА, содержащий санкции и штрафы

за нарушения соответствия стандартам безопасности киберфизических систем, включая


6.2.3. Результаты работ

По окончании работ Исполнитель формирует комплект результатов исследования собранных

материалов, содержащих:

Аналитический обзор типов киберфизических систем и текущего уровня и перспектив

развития киберфизических систем в Российской федерации и за рубежом;

Альбом типовых технических решений по построению киберфизических систем на

территории Российской Федерации на основе существующих и перспективных технологий

передачи данных с типовыми моделями угроз и злоумышленников для каждой из указанных


Проекты стандартов безопасности киберфизических систем;

Проект НПА, содержащий санкции и штрафы за нарушения соответствия стандартам

безопасности киберфизических систем, включая «Интернет вещей».

7. Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов должны учитываться

требования действующих нормативно-технических документов, указанных в п.1, а также:

ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и издательскому

делу. Отчёт о научно-исследовательской работе. Структура и правила оформления»;

ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в рамках настоящей

работы, и состав документов, входящих в каждый из них, должны соответствовать требованиям

законодательства Российской Федерации.

Основной текст отчетных материалов оформляется на русском языке, печатным (машинным)

способом с использованием персонального компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом редакторе Microsoft Office

Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать стандартному формату А4 (210 ×

297 мм). В обоснованных случаях допускается использовать другой формат А3 (297 × 420 мм), при

этом листы должны быть укомплектованы в едином документе (формате).

Схемы, графические материалы оформляется с использованием графического редактора

AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных толкований, логически

последовательным. Ошибки, опечатки, графические неточности, помарки, повреждения листов не

18

допускаются. Вносить в текст отчетных материалов отдельные слова, формулы, знаки, буквы,

символы, графики, рисунки рукописным способом не допускается.

Для наглядности и удобства изложения применяют таблицы, графический материал, схемы,

формулы.

В документации должны применяться общепринятые условные обозначения, единицы

величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и греческий алфавит, для

обозначения сокращения, формул, величин, символов и т.п.

Результаты работ (отчетные материалы) на бумажных носителях представляются в виде

оформленных сшитых томов. На титульном листе должны быть оригинальные печати организации

разработчика и подлинные подписи руководителя организации. На следующей странице должны

быть подписи руководителя работ и основных исполнителей. Таблицы, а также иные материалы,

расчеты и обоснования могут быть представлены в виде отдельных приложений. Объем

приложений не ограничивается. Электронные версии отчетных материалов и приложений

предоставляются на носителях (флеш-карта) в качестве приложения к отчетным материалам.

8. Требования к гарантийному сроку и объему предоставления гарантий качества

работы

Качество выполняемых Исполнителем работ должно соответствовать требованиям,

установленным в Требованиях (п. 3 настоящего технического задания), а также требованиям,

обычно предъявляемым к работам соответствующего рода. Результат выполненных работ должен в

момент передачи Заказчику обладать свойствами, указанными в Требованиях, и свойствами,

определенными обычно предъявляемыми требованиями к такому виду работ.

Если законом, иными правовыми актами или в установленном ими порядке предусмотрены

обязательные требования к работам, Исполнитель обязан выполнять работы, соблюдая эти

обязательные требования.

К обязательным требованиям, в том числе относятся: требования к качеству результата,

обеспечивающие его безопасность для жизни и здоровья населения, охрану окружающей среды.

Исполнитель принимает на себя обязательства по гарантии качества результатов, полученных

при выполнении работ. Срок предоставления гарантии качества - 12 (двенадцать) месяцев с даты

приемки результатов работ Заказчиком (дата подписания Заказчиком Акта сдачи-приемки

выполненных работ).

В гарантии качества, предоставляемые Исполнителем, должны входить выполняемые

по письменному обоснованному запросу Заказчика в гарантийный период работы по корректировке

проектов документов.

___________________________________________


на выполнение работ по проведению экспертно-аналитического

сопровождения реализации федерального проекта, в том числе

предусматривающее выполнение отдельных мероприятий федерального

проекта

1. Общие сведения

Полное наименование работ: проведение экспертно-аналитического

сопровождения реализации федерального проекта, в том числе

предусматривающее выполнение отдельных мероприятий федерального

проекта.

Краткое наименование работ - Работы.

Заказчик работ -

Исполнитель работ -

2. Основания для осуществления работ

2.1. Нормативные правовые основания для осуществления работ

Паспорт федерального проекта «Информационная безопасность»

национальной программы «Цифровая экономика», утвержденный на

заседании президиума Правительственной комиссии по цифровому

развитию, использованию информационных технологий для улучшения

качества жизни и условий ведения предпринимательской деятельности

(протокол от 6 мая 2019 г. № 8).

2.2. Цель выполняемых работ

Проведение экспертно-аналитического сопровождения реализации

федерального проекта, в том числе предусматривающее выполнение

отдельных мероприятий федерального проекта.

2.3. Задачи

2.3.1. Проведение экспертно-аналитического сопровождения создания

системы отраслевого регулирования использования киберфизических систем,

включая устройств «Интернета вещей» и установления требований по

идентификации участников информационного взаимодействия, а также

регистрации оборудования сетей устройств «Интернета вещей».

2.3.2. Проведение экспертно-аналитического сопровождения

разработки требований к операторам промышленного Интернета, проектов

стандартов безопасности для киберфизических систем, включая устройства

«Интернета вещей».

2.3.3. Проведение экспертно-аналитического сопровождения создания

технологии обработки инцидентов информационной безопасности с

использованием искусственного интеллекта для повышения уровня

автоматизации процессов принятия решений и уменьшения времени реакции

на инциденты.

2.3.4. Экспертно-аналитическое сопровождение разработки комплекса

стандартов обеспечения информационной безопасности сетей связи общего

пользования, обеспечивающих минимизацию рисков и угроз безопасного

функционирования сетей связи общего пользования.

2.3.5. Проведение экспертно-аналитического сопровождения анализа

существующих и перспективных средств защиты информации.

2.3.6. Проведение экспертно-аналитического сопровождения

разработки модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-

трекеры и пр.) и дорожной карты по обеспечению информационной

безопасности при использовании гражданами указанного класса технических

средств в Российской Федерации.

2.3.7. Экспертно-аналитическое сопровождение проведения

исследований рынка отечественного оборудования телерадиовещания,

определение потребностей российских компаний в сфере телерадиовещания

в указанном оборудовании.

2.4. Результаты работ

2.4.1. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения создания системы отраслевого

регулирования использования киберфизических систем, включая устройств

«Интернета вещей» и установления требований по идентификации

участников информационного взаимодействия, а также регистрации

оборудования сетей устройств «Интернета вещей».


экспертно-аналитического сопровождения разработки требований к

операторам промышленного Интернета, проектов стандартов безопасности

для киберфизических систем, включая устройства «Интернета вещей».


экспертно-аналитического сопровождения создания технологии обработки

инцидентов информационной безопасности с использованием

искусственного интеллекта для повышения уровня автоматизации процессов

принятия решений и уменьшения времени реакции на инциденты.


экспертно-аналитического сопровождения разработки комплекса стандартов

обеспечения информационной безопасности сетей связи общего пользования,

обеспечивающих минимизацию рисков и угроз безопасного

функционирования сетей связи общего пользования.


экспертно-аналитического сопровождения анализа существующих и

перспективных средств защиты информации.


экспертно-аналитического сопровождения разработки модели угроз

информационной безопасности для персональных устройств сбора

биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) и

дорожной карты по обеспечению информационной безопасности при

использовании гражданами указанного класса технических средств в



экспертно-аналитического сопровождения проведения исследований рынка

отечественного оборудования телерадиовещания, определение потребностей

российских компаний в сфере телерадиовещания в указанном оборудовании.

3. Требования к проведению работ

3.1 Проведение сопровождения реализации мероприятий

федерального проекта.

3.2 Проведение анализа международных практик по основным

сопровождаемым темам.

3.3 Создание, поддержка и актуализация экспертных групп по

отдельным направлениям реализации федерального проекта.

3.4 Обеспечение нормативной, справочной и другой необходимой

информацией экспертных групп.

3.5 Подготовка отчетности по выполнению сопровождения

реализации федерального проекта.

3.6 Организация сопровождения работ, контроль хода реализации

утвержденных ТЗ (задача, сроки), участие в мероприятиях на стадии сдачи

выполненных работ.

3.7 Организация передачи промежуточных и итоговых материалов

по выполняемым работам от исполнителей к экспертам.

3.8 Организация передачи экспертных оценок по промежуточным и

итоговым материалам заказчику.

3.9 Информирование заказчика об этапах сопровождения НИР и

выполнения работ.

3.10 Обеспечение материально-технического и финансово-правового

сопровождения работ.

4. Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов

должны учитываться требования действующих нормативно-технических

документов, указанных в п.1, а также:

ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному

и издательскому делу. Отчёт о научно-исследовательской работе. Структура

и правила оформления»;

ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в

рамках настоящей работы, и состав документов, входящих в каждый из них,

должны соответствовать требованиям законодательства Российской

Федерации.

Основной текст отчетных материалов оформляется на русском языке,

печатным (машинным) способом с использованием персонального

компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом

редакторе Microsoft Office Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать

стандартному формату А4 (210 × 297 мм). В обоснованных случаях

допускается использовать другой формат А3 (297 × 420 мм), при этом листы

должны быть укомплектованы в едином документе (формате).

Схемы, графические материалы оформляется с использованием

графического редактора AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных

толкований, логически последовательным. Ошибки, опечатки, графические

неточности, помарки, повреждения листов не допускаются. Вносить в текст

отчетных материалов отдельные слова, формулы, знаки, буквы, символы,

графики, рисунки рукописным способом не допускается.

Для наглядности и удобства изложения применяют таблицы,

графический материал, схемы, формулы.

В документации должны применяться общепринятые условные

обозначения, единицы величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и

греческий алфавит, для обозначения сокращения, формул, величин, символов

и т.п.

Результаты работ (отчетные материалы) на бумажных носителях

представляются в виде оформленных сшитых томов. На титульном листе

должны быть оригинальные печати организации разработчика и подлинные

подписи руководителя организации. На следующей странице должны быть

подписи руководителя работ и основных исполнителей. Таблицы, а также

иные материалы, расчеты и обоснования могут быть представлены в виде

отдельных приложений. Объем приложений не ограничивается. Электронные

версии отчетных материалов и приложений предоставляются на носителях

(флеш-карта) в качестве приложения к отчетным материалам.

АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

Documents