Защита значимых объектов КИИ, обеспечение безопасности в области критической информационной инфраструктуры

Размер шрифта

Цвет фона и шрифта

Изображения

Озвучивание текста

Обычная версия сайта

Заказать звонок

8 (800) 1000-526 Отдел продаж
- Телефоны
- 8 (800) 1000-526 Отдел продаж
- 8 (351) 729-81-89
- Заказать звонок
г. Челябинск, ул. Либкнехта, д. 2, офис 523
info@it-pnk.ru
Пн - Чт: 8.00 - 18.00, Пт: 8.00 - 17.00

7 апреля 2025 года вступил в силу Федеральный закон № 58-ФЗ, который скорректировал нормы 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Большинство нововведений заработали с 1 сентября 2025 года.

Ключевые поправки:

ИП выведены из состава субъектов КИИ — это зафиксировано в п. 8 ст. 2 нормативного акта 187-ФЗ.
Процедура присвоения категорий теперь базируется на типовых перечнях по отраслям — они разработаны для сфер химпрома, добычи полезных ископаемых, производства металлов, оборонных предприятий и медицинских учреждений.
Определен срок миграции на доверенные программно-аппаратные комплексы — до 1 января 2030 года (регламентировано Постановлением № 1912 от 14.11.2023).
Закреплен механизм взаимодействия организаций КИИ с Национальным координационным центром по компьютерным инцидентам — установлено п.5 и п.6 ч.3 ст.9 акта 187-ФЗ.

19 сентября 2024 года Правительство выпустило Постановление № 1281, упростившее процедуру присвоения категорий. Компании КИИ больше не обязаны формировать списки объектов для направления во ФСТЭК — после аннулирования подпункта «г» п. 5 и п. 15 распоряжения № 127 от 8 февраля 2018 года.

Профильные министерства уже подготовили типовые отраслевые списки, которые используются при определении категории значимости объектов.

Что такое КИИ и кто попадает под ФЗ-187?

Критическая информационная инфраструктура (КИИ)- это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия.

Субъектами КИИ являются государственные органы и учреждения, юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из следующих областей:

Объекты КИИ:

информационные системы
телекоммуникационные сети
автоматизированные системы управления технологическими процессами

Субъекты КИИ:

Здравоохранение

Банковские и иные сферы финансового рынка

Топливно-энергетический комплекс

Атомная промышленность

Металлургическая и химическая промышленность

Ракетно-космическая промышленность

Горнодобывающая промышленность

Военно-промышленный комплекс

Наука, транспорт, связь

Юр. лица и ИП, которые взаимодействуют с системами КИИ

Что должны предпринять субъекты КИИ?

Согласно закону, субъекты КИИ должны:

Провести категорирование объектов КИИ;

Обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Услуги по КИИ

Категорирование объектов КИИ

Составляем приказ о создании комиссии
Определяем объекты и формируем перечень
Заполняем форму сведений об объекте и субъекте КИИ
Определяем категорию значимости, если она имеется (анализируем 14 показателей категорирования и 5 видов показателей категорирования)
Формируем акт категорирования для последующей отправки во ФСТЭК

Оценка соответствия мер по ИБ объектов КИИ

Анализ используемых средств защиты
Формирование адаптированного базового набора мер, на основании актуальных угроз
Обоснование необходимости создания или модернизации существующей системы защиты

Внедрение и настройка СЗИ

Разработка и внедрение единых требований к обеспечению безопасности:
Разработка документов по безопасности:
Комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
Разработка модели угроз;
Внедрение организационных мер по обеспечению безопасности

Нормативная база защиты КИИ

Правовое регулирование критической инфраструктуры включает акты по категорированию, техническим требованиям и импортозамещению:

Постановление № 127 от 8.02.2018 года (ред. от 19.09.2024) утверждает правила категорирования объектов, показатели критериев значимости, три категории объектов с дифференцированными требованиями по защите.
Приказ ФСТЭК № 239 от 25.12.2017 устанавливает нормативы по защите значимых объектов КИИ в зависимости от класса опасности (первый, второй, третий).
Постановление № 1478 от 22.08.2022 регламентирует использование ПО на объектах КИИ, порядок согласования закупок иностранных программ и обязывает завершить импортозамещение до 1 января 2025 года.
Постановление № 1912 от 14.11.2023 устанавливает график миграции на доверенные программно-аппаратные комплексы для объектов КИИ (дедлайн — 1 января 2030 года), действует с 1 сентября 2024 года на протяжении 6 лет.

ООО «ПНК» присваивает категории объектам КИИ на основе отраслевых методик, готовит модели угроз в соответствии с нормативами ФСТЭК и создает защитные системы для выполнения требований приказа № 239. Компания располагает разрешением ФСТЭК России на работы по технической защите конфиденциальных данных, а также разрешением ФСБ на создание и поставку криптографических средств.

Часто задаваемые вопросы

Какая ответственность за отказ от категорирования

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей;
на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет;
на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

Кто контролирует выполнение требований закона о безопасности КИИ?

Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.

Что мы получим по итогу категорирования?

По итогам работы вы получите:

Шаблон приказа о создании комиссии по категорированию объектов КИИ;

Акт обследования КИИ;

Модель угроз безопасности информации, включающую модель нарушителя;

Шаблон приказа об утверждении перечня объектов КИИ;

Акт категорирования объектов КИИ;

Заполненную форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Что подразумевается под интеграцией с ГосСОПКА?

Интеграция в ГосСОПКА требует от субъекта КИИ:

информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

Что такое ГосСОПКА и для чего она нужна?

ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА). К силам ОПЛ КА относятся:

уполномоченные подразделения ФСБ России;

национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;

подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

Как определить, что Вы субъект?

Существует несколько критериев для определения, является ли организация субъектом КИИ:

Первый критерий – ОКВЭД организации.

Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам.

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.