Защита критической информационной инфраструктуры (КИИ)

Размер шрифта

Цвет фона и шрифта

Изображения

Озвучивание текста

Обычная версия сайта

Заказать звонок

8 (800) 1000-526 Отдел продаж
- Телефоны
- 8 (800) 1000-526 Отдел продаж
- 8 (351) 729-81-89
- Заказать звонок
г. Челябинск, ул. Либкнехта, д. 2, офис 523
info@it-pnk.ru
Пн - Чт: 8.00 - 18.00, Пт: 8.00 - 17.00

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры (КИИ).

Что такое КИИ и кто попадает под ФЗ-187?

Критическая информационная инфраструктура (КИИ)- это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия.

Субъектами КИИ являются государственные органы и учреждения, юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из следующих областей:

Объекты КИИ:

информационные системы
телекоммуникационные сети
автоматизированные системы управления технологическими процессами

Субъекты КИИ:

Здравоохранение

Банковские и иные сферы финансового рынка

Топливно-энергетический комплекс

Атомная промышленность

Металлургическая и химическая промышленность

Ракетно-космическая промышленность

Горнодобывающая промышленность

Военно-промышленный комплекс

Наука, транспорт, связь

Юр. лица и ИП, которые взаимодействуют с системами КИИ

Что должны предпринять субъекты КИИ?

Согласно закону, субъекты КИИ должны:

Провести категорирование объектов КИИ;

Обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Услуги по КИИ

Категорирование объектов КИИ

Составляем приказ о создании комиссии
Определяем объекты и формируем перечень
Заполняем форму сведений об объекте и субъекте КИИ
Определяем категорию значимости, если она имеется (анализируем 14 показателей категорирования и 5 видов показателей категорирования)
Формируем акт категорирования для последующей отправки во ФСТЭК

Оценка соответствия мер по ИБ объектов КИИ

Анализ используемых средств защиты
Формирование адаптированного базового набора мер, на основании актуальных угроз
Обоснование необходимости создания или модернизации существующей системы защиты

Внедрение и настройка СЗИ

Разработка и внедрение единых требований к обеспечению безопасности:
Разработка документов по безопасности:
Комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
Разработка модели угроз;
Внедрение организационных мер по обеспечению безопасности

Часто задаваемые вопросы

Какая ответственность за отказ от категорирования

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей;
на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет;
на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

Кто контролирует выполнение требований закона о безопасности КИИ?

Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.

Что мы получим по итогу категорирования?

По итогам работы вы получите:

Шаблон приказа о создании комиссии по категорированию объектов КИИ;

Акт обследования КИИ;

Модель угроз безопасности информации, включающую модель нарушителя;

Шаблон приказа об утверждении перечня объектов КИИ;

Акт категорирования объектов КИИ;

Заполненную форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА). К силам ОПЛ КА относятся:

уполномоченные подразделения ФСБ России;

национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;

подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

Как определить, что Вы субъект?

Существует несколько критериев для определения, является ли организация субъектом КИИ:

Первый критерий – ОКВЭД организации.

Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам.

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.