Услуги и решения

Защита критической информационной инфраструктуры (КИИ)

Федеральный закон №-187 о безопасности критической информационной инфраструктуры (КИИ) предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.

Услуги Холдинга МАСКОМ Восток гарантируют заказчикам соответствие федеральному законодательству РФ № 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ) и подзаконных актов.

Внедрение этих решений по защите КИИ совместно с проведением ряда организационно-технических мероприятий позволяет компаниям избежать ответственности за нарушение законодательства и гарантировать безопасность объектов КИИ в своём ведении.

Защита критической информационной инфраструктуры КИИ

В соответствии с 187-ФЗ от 26.07.2017 организациям и предприятиям необходимо определить и защищать критичные системы, функционирующие в следующих сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомной энергии, оборонная промышленность, ракетно-космическая, металлургическая, горнодобывающая и химическая промышленность.

Приглашаем на курсы «Обеспечение безопасности значимых объектов КИИ» для повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ). Начало курса 16 декабря 2019 года.

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.

Кто относится к субъектам КИИ?

К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

  • Общероссийский классификатор видов экономической деятельности;
  • Лицензии и иные разрешительные документы на различные виды деятельности;
  • Уставы, положения организаций (госорганов);
  • Другие источники.

Какие действия должны предпринять субъекты КИИ для выполнения Закона?

Согласно закону, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Что такое объекты КИИ?

Под требования законодательства попадают следующие виды систем (объекты критической информационной инфраструктуры):

  • информационные системы (ИС);
  • автоматизированные системы управления (АСУ);
  • информационно-телекоммуникационные сети (ИТКС).

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТКС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

Этапы выполнения требований законодательства по защите объектов КИИ

Выполнение требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 для организаций и предприятий причастных к критической информационной инфраструктуре РФ:

  • Определение объектов КИИ, принадлежность к субъектам КИИ;
  • Информирование ФСТЭК России об объектах КИИ, подлежащих категорированию;
  • Категорирование объектов КИИ, оформление необходимого набора документации;
  • Проектирование и внедрение систем защиты объектов КИИ;
  • Обучение работников (повышение квалификации в области обработки и защиты информации);
  • Обеспечение непрерывной защиты систем КИИ и недопущение компьютерных атак на них;
  • Поддержка в вопросах информирования о произошедших с объектом КИИ инцидентах информационной безопасности;
  • Поддержка в вопросах реагирования и ликвидации последствий компьютерных инцидентов.

Если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

Категорирование объектов КИИ

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости).

Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Порядок категорирования объектов КИИ:

Порядок категорирования установлен Постановлением Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», который можно отобразить следующим алгоритмом действий:

  • Создание комиссии по категорировании КИИ
  • Первичный сбор данных для определения объектов
  • Утверждение перечня объектов КИИ, подлежащих категорированию
  • Сбор исходных данных для категорирования
  • Категорирование объектов КИИ
  • Оформление акта категорирования объекта КИИ
  • Направление сведений о результатах категорирования в ФСТЭК

Какие объекты КИИ подлежат категорированию?

На этот вопрос есть ответ в Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127).  В данном постановлении четко определено:

«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд.

Существует много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД, действующие лицензии, право собственности на информационные системы и другие факторы, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

Если у вас возникли вопросы и вам нужна консультация, напишите нам или позвоните, и мы бесплатно проконсультируем по вопросам безопасности критической информационной инфраструктуры. МАСКОМ Восток готов выполнить работы по обеспечению безопасности КИИ.

Проектирование и внедрение систем защиты объектов КИИ

Услуги по проектированию и внедрению систем защиты объектов КИИ осуществляются с учетом требований ФСТЭК России (приказы 235 и 239) и возможностями Заказчика.

Комплекс услуг по проектированию системы защиты объекта КИИ включает:

  • Поддержка при создании субъектом КИИ систем безопасности значимых объектов КИИ;
  • Анализ угроз безопасности информации и разработку модели угроз безопасности информации;
  • Разработка частного технического задания (требований) на создание подсистемы безопасности объекта КИИ;
  • Проектирование подсистемы безопасности объекта КИИ;
  • Разработка рабочей (эксплуатационной) документации на объект (в части обеспечения его безопасности).

Комплекс услуг по внедрению систем защиты объектов КИИ включает:

  • Установка и настройка средств защиты информации;
  • Разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности объекта;
  • Внедрение организационных мер по обеспечению безопасности значимого объекта;
  • Предварительные испытания и опытную эксплуатацию объекта и его подсистемы безопасности;
  • Анализ уязвимостей объекта и выдача рекомендаций по их устранению;
  • Приемочные испытания объекта и его подсистемы безопасности;
  • Поддержка в вопросах обеспечения безопасности объекта КИИ в ходе его эксплуатации.

Чем грозит не выполнение требования Закона о безопасности КИИ

Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под состав 293 статьи УК РФ «Халатность».

Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.

Нормативно-правовые акты

  • N 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • ПП РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”;
  • Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 22.12.2017 N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Ваше сообщение
успешно отправлено!
Мы свяжемся с вами в ближайшее время.
Ваша регистрация
прошла успешно!
В ближайшее врем на вашу почту будет
направлено письмо.