8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400074, г. Волгоград, ул. Козловская, д. 71
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Партнеры
  • Карта партнера
  • Конфиденциальность
  • Политика
  • Доверенности
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Партнеры
    • Карта партнера
    • Конфиденциальность
    • Политика
    • Доверенности
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Партнеры
        • Карта партнера
        • Конфиденциальность
        • Политика
        • Доверенности
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400074, г. Волгоград, ул. Козловская, д. 71
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      187-ФЗ. Безопасность объектов КИИ организации

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • 187-ФЗ. Безопасность объектов КИИ организации
      28 апреля 2019
      // КИИ
      187-ФЗ. Практическое пособие по проведению работ связанных с выполнением требований 187-ФЗ "О безопасности объектов КИИ в РФ" Обеспечить безопасность КИИ

      187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» вышедший в середине 2017 года и вступивший в силу с 1 января 2018 года еще с самого выхода в свет породил массу вопросов.

      По прошествии полугода со дня вступления его в законную силу в сообществе специалистов по информационной безопасности возникло множество различных, иногда диаметрально противоположных, точек зрения относительно практики его применения.

      В этой связи, Ассоциацией руководителей служб информационной безопасности была выдвинута инициатива по подготовке практического пособия, целью которого является формулировка рекомендаций (дорожной карты) для специалистов служб информационной безопасности и информационно-технического обеспечения, дающих понимание того, что такое критическая информационная инфраструктура и какие шаги необходимо предпринять для обеспечения ее безопасности на уровне организации.

      дорожная карта по 187-ФЗ о безопасности кии

      Рисунок 1. Дорожная карта по выполнению требований Федерального закона «О безопасности критической информационной инфраструктуры»

      Данное пособие является первой попыткой представить в комплексе весь спектр основных вопросов касающихся указанной тематики с учетом сложностей и неоднозначностей толкования принятых нормативно-правовых актов и отсутствия практики их право применения.

      В целом, алгоритм связанный с обеспечением безопасности объектов критической информационной инфраструктуры в организации можно представить в виде следующих шагов (рисунок 1).

      В главах данного пособия коллектив авторов – практиков в области защиты информации, рассматривает вопросы реализации указанного алгоритма, затрагивает ряд спорных и проблемных моментов, вызывающих вопросы у руководителей служб информационной безопасности и представителей бизнес сообщества.

      Данное пособие подготовлено коллективом авторов – членов Ассоциации руководителей служб информационной безопасности (aciso.ru):


      • Главы 1 и 2 – Константин Саматов
      • Глава 3 – Лев Палей, Константин Саматов
      • Глава 4 – Радмир Нафиков
      • Глава 5 – Александр Мишурин
      • Глава 6 – Николай Носов

      Редакционная коллегия: Виктор Минин, Сергей Петренко, Сергей Чучаев, Александр Полещук.

      ЧТО ТАКОЕ КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА? (ГЛАВА 1)

      Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (далее по тексту – КИИ) сформулированы в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ

      «О безопасности критической информационной инфраструктуры Российской Федерации» (далее по тексту – Закон «О безопасности КИИ»). В соответствии с ней, под КИИ понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

      Как видно из определения критическая информационная инфраструктура Российской Федерации представляет собой совокупность всех принадлежащих российским организациям и органам государственной власти объектов КИИ и обеспечивающих их взаимодействие сетей электросвязи.

      Объекты КИИ – это имеющиеся у субъектов КИИ:

      • Информационные системы (ИС). Одним из наиболее распространенных видов информационных систем являются информационные системы персональных данных (ИСПДн).
      • Информационно-телекоммуникационные сети (ИТКС). Самыми распространенными видами информационно-телекоммуникационных систем являются корпоративные информационные сети и сеть международного обмена «Интернет».
      • Автоматизированные системы управления (АСУ). Одним из наиболее распространенных видов указанных систем являются автоматизированные системы управления технологическими процессами (АСУ ТП) промышленных предприятий.
      Под субъектами КИИ понимаются:Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели:
      • функционирующие в одной из 14 сфер жизнедеятельности: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность;
      • которым принадлежат (на праве собственности, аренды, ином законном основании) объекты КИИ.
      Российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей: ИС, ИТКС, АСУ.

      Таким   образом, закон   предусматривает   два   вида   субъектов   КИИ – владельцы объектов КИИ и координаторы взаимодействия этих объектов.

      С точки зрения практического применения следует иметь в виду, что при определении является ли организация (государственный орган, учреждение) субъектом КИИ, необходимо оценивать сферу функционирования не принадлежащей ей ИС, АСУ или ИТКС, а сферу деятельности самой организации.

      ТИПОЛОГИЯ ОБЪЕКТОВ КИИ. (ГЛАВА 2)

      Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, достаточно большое количество вопросов связано с типологией объектов критической информационной инфраструктуры (далее по тексту – Объект КИИ, ОКИИ).

      Типология – это классификация объекта по его существенным признакам. Классификация имеет познавательное значение и предназначена для постоянного использования в науке или области практической деятельности, в целях выявления существенных сходства и различия между предметами, а также систематизации объектов по каким-либо признакам.

      Прикладное (практическое) значение типологии в том, что правильное определение типа объекта КИИ позволяет сформировать перечень мер, необходимых для обеспечения его безопасности, в том числе с учетом требований специальных нормативных правовых актов:

       

      По значимости, ОКИИ подразделяются на следующие виды:

      Классификация ОКИИ по значимости. 187-ФЗ

      Классификация ОКИИ по значимости

      С точки зрения значимости, объекты КИИ подразделяются на два вида: «значимый» и «не значимый», а значимые объекты делятся на три целевых уровня защищенности – «категории значимости» (в соответствии с ч. 3 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»): максимальный целевой уровень защищенности – первый, минимальный – третий.

      От уровня защищенности значимого ОКИИ, которому он должен соответствовать (т.н. «целевой уровень безопасности объекта защиты»), зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение его функционирования.

      Что касается объектов КИИ не отнесенных к значимым, то для них не требуется построения дополнительной системы безопасности, состав и содержание мер защиты информации для указанных объектов регламентирован в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: ИСПДн, АСУ ТП и т.п.

      При этом, все субъекты (как значимые, так и нет), наделяются следующими правами (ст. 9 187-ФЗ):

      1. получать от федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, информацию, необходимую для обеспечения безопасности значимых объектов критической информационной инфраструктуры, принадлежащих им на праве собственности, аренды или ином законном основании, в том числе об угрозах безопасности обрабатываемой такими объектами информации и уязвимостях программного обеспечения, оборудования и технологий, используемых на таких объектах;
      2. в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
      3. при наличии согласия федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

      Помимо прав, на все субъекты КИИ возлагаются следующие обязанности:

      1. незамедлительно информировать о компьютерных инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке;
      2. оказывать содействие должностным лицам ФСБ России, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
      3. в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения,предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.

      С практической точки зрения, для выполнения возложенных на субъекта КИИ, не владеющего значимыми объектами, обязанностей, необходимо разработать регламент по реагированию на компьютерные инциденты (дополнить соответствующим разделом уже имеющийся регламент реагирования на инциденты информационной безопасности) в котором предусмотреть:

      • алгоритм действий в случае нарушения функционирования объекта КИИ или безопасности обрабатываемой таким объектом информации;
      • порядок информирования ФСБ России (Центрального банка РФ);
      • правила взаимодействия и оказания содействия должностным лицам ФСБ России в ходе расследования инцидента и ликвидации его последствий.

      Субъекты КИИ, которым принадлежат значимые объекты, также обязаны:

      1. Соблюдать требования по обеспечению безопасности значимых объектов КИИ, установленные ФСТЭК России. Данные требования установлены приказом ФСТЭК России от 25.12.2017 № 239. В дальнейших параграфах данного пособия будут рассмотрены наиболее значимые из них.
      2. Выполнять предписания должностных лиц ФСТЭК России, об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта КИИ, выданные этими лицами в соответствии со своей компетенцией. Данная обязанность предусматривает исполнение выданных по результатам государственного контроля (плановых и внеплановых проверок) предписаний об устранении выявленных нарушений. Порядок осуществления государственного контроля установлен Постановлением Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры».
      3. Реагировать на компьютерные инциденты в порядке, утвержденном ФСБ России, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. Для выполнения данной обязанности необходимо регламентировать (в разработанном и утвержденном локальном нормативном акте) план действий персонала в случае возникновения компьютерного инцидента, в том числе направленных на ликвидацию его последствий, а также регламент взаимодействия с ФСБ России и Национальным координационным центром по компьютерным инцидентам. Наиболее важные моменты осуществления взаимодействия будут рассмотрены в следующих главах.
      4. Обеспечивать беспрепятственный доступ должностным лицам ФСТЭК России, к значимым объектам КИИ при реализации ими своих полномочий. В соответствии с постановлением Правительства РФ от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» должностные лица ФСТЭК России при проведении проверок вправе:
           • знакомиться с документами, касающимися обеспечения безопасности значимых объектов КИИ;
           • получать доступ к значимым объектам КИИ и проводить оценку эффективности принимаемых мер по обеспечению безопасности с использованием сертифицированных    программных и аппаратно- программных средств контроля, в том числе имеющихся у субъекта КИИ. Однако, следует отметить, что возможность и порядок использования таких средств контроля, проверяющие обязаны согласовать с руководителем субъекта КИИ или уполномоченным им должностным лицом. По оценкам экспертов, на практике, при проведении инструментального анализа защищенности, сотрудники ФСТЭК России будут стараться использовать имеющиеся у субъекта КИИ средства контроля защищенности и просить обеспечить их функционирование работников субъекта.

      По сфере функционирования можно выделить 14 областей:

      1. здравоохранение;
      2. наука;
      3. транспорт;
      4. связь;
      5. энергетика;
      6. банковская сфера;
      7. сфера финансовых рынков;
      8. топливно-энергетический комплекс;
      9. атомная энергетика;
      10. оборонная промышленность;
      11. ракетно-космическая промышленность;
      12. горнодобывающая промышленность;
      13. металлургическая промышленность;
      14. химическая промышленность.

      С точки зрения практического применения следует учитывать два момента:

      1. Для конкретной отрасли будет преобладающим конкретный вид объекта КИИ. Классификация объектов КИИ по сфере функционирования:

      Классификация объектов КИИ по сфере функционирования. 187-ФЗ

      Классификация объектов КИИ по сфере функционирования. ИС – информационные системы; АСУ – автоматизированные системы управления; ИТКС – информационно-телекоммуникационные сети.

      2. Необходимо оценивать, с точки зрения функционирования в той или иной сфере, именно субъекта, а не объект КИИ.

      При этом, важным становится вопрос о том, как определить сферу деятельности самой организации? Очевидно, что основным документом, опираясь на который можно это сделать, является выписка из Единого государственного реестра юридических лиц (ЕГРЮЛ), в которой содержатся сведения о заявленных организацией видах деятельность и наличии у нее 
      лицензий. Кроме того, информация о сфере функционирования организации содержится в ее Уставе (Положении). При этом, как правило, информация Устава (Положения) и ЕГРЮЛ совпадает.

       

      По виду системы объекты КИИ подразделяются на следующие виды:

      Классификация ОКИИ по виду системы. 187-ФЗ

      Классификация ОКИИ по виду системы.
      ГИС – государственная информационная система, МИС – муниципальная информационная система, ИСПДн – информационная система персональных данных, ГИСПДн – государственная информационная система персональных данных, МИСПДн – муниципальная система персональных данных.

      С практической точки зрения важность правильного определения вида системы позволяет понять, какой перечень мер необходимо применять для обеспечения безопасности ОКИИ.

      Основные нормативно-правовые акты, устанавливающие меры защиты ОКИИ. 187-ФЗ

      Основные нормативно-правовые акты, устанавливающие меры защиты ОКИИ

      Пояснение к таблице:

      • НК РФ – Налоговый кодекс Российской Федерации
      • 98-ФЗ – Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
      • 149-ФЗ – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
      • 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
      • 395-1 – Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»
      • 1119 – Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
      • 351 – Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена»
      • 17 – Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
      • 21 – Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
      • 31 – Приказ ФСТЭК России от 14.03.2014 № 31 (ред. от 09.08.2018) «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
      • 235 – Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования»
      • 239 – Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»
      • 378 – Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
      • 382-П – Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
      В таблице выше приведен перечень основных нормативно-правовых актов, предусматривающих меры обеспечения безопасности объектов КИИ. Следует отметить, что перечисленные в таблице нормативно-правовые акты, касающиеся иных ИС, не являются исчерпывающими – приведены лишь документы, регламентирующие требования к информационным системам, обрабатывающим наиболее распространенные виды тайн: коммерческая, налоговая, банковская.

      Таким образом, правильное определение типа объекта КИИ позволяет определить набор мер, необходимых для создания системы безопасности, а также избежать ошибок при категорировании.

      Скачать полную версию пособия по проведению работ связанных с 187-ФЗ "О безопасности объектов КИИ"

      НЕКОТОРЫЕ ОТВЕТЫ РЕГУЛЯТОРА НА СПОРНЫЕ ВОПРОСЫ

      Данные ответы получены на официальный запрос АРСИБ во ФСТЭК России:

      Вопрос: Каким образом желательно составить перечень по системам (ИС, ИТКС, АСУ)? Например, автоматизированные системы цеха оставить полностью (АСУ Цеха) или стоит все-таки делить по агрегатам (АСУ агрегата 1, АСУ агрегата 2 и т.д.)?

      Ответ: Решение о степени детализации объектов критической информационной инфраструктуры принимается субъектом критической информационной инфраструктуры самостоятельно с учетом определений терминов                           «информационная           система»,            «информационно- телекоммуникационная сеть» и «автоматизированная система управления», приведенных в пунктах 3 и 4 статьи 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в пункте 1 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ), а также на основании эксплуатационной и технической документации на указанные объекты критической информационной инфраструктуры.

      Вопрос: Необходимо составлять перечень абсолютно всех систем предприятия, в том числе и самых незначительных?

      Ответ: В соответствии с подпунктами «а» – «г» пункта 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 (далее – Правила), в перечень объектов критической информационной инфраструктуры, подлежащих категорированию, включаются только объекты критической информационной инфраструктуры, реализующие управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, оцениваемым в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значениями, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.

      Вопрос: При изменении какого-либо пункта Сведений (форма утверждена приказом ФСТЭК России №236) – например, сведений о применяемых мерах защиты (ведь планируется постепенное создание полноценной системы защиты информации), либо при выводе объекта КИИ из эксплуатации, каков для Субъекта КИИ порядок информирования ФСТЭК России об этих изменениях? Какой приемлемый период для информирования о происшедших изменениях?

      Ответ: В соответствии с законодательством о безопасности критической информационной инфраструктуры сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России только в следующих случаях:

      • присвоение или неприсвоение категории значимости объекту критической информационной инфраструктуры в соответствии с частью 4 статьи 7 Федерального закона № 187-ФЗ;
      • устранение в соответствии с частью 9 статьи 7 Федерального закона

      № 187-ФЗ выявленных ФСТЭК России недостатков в результате проверки сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, осуществленной в соответствии с частью 6 статьи 7 Федерального закона № 187-ФЗ;

      • изменение категории значимости значимого объекта критической информационной инфраструктуры в одном из случаев, приведенных в части 12 статьи 7 Федерального закона № 187-ФЗ;
      • пересмотр установленной категории значимости значимого объекта критической информационной инфраструктуры в соответствии с пунктом 21 Правил.

      В указанных случаях сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий представляются в ФСТЭК России в сроки, предусмотренные Федеральным законом № 187-ФЗ и Правилами.

      Законодательством о безопасности критической информационной инфраструктуры информирование ФСТЭК России об изменениях сведений об объекте критической информационной инфраструктуры в иных случаях не предусмотрено.


      Наши специалисты готовы провести все необходимые работы по выполнению требований ФЗ-187. Отправьте нам заявку и мы свяжемся с вами в течении одного рабочего дня.
      Заказать услугу

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных13
      • Пентест7
      • КИИ28
      • Информационная безопасность21
      • АСУ3
      • Средства защиты информации6
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Категорирование объектов КИИ. Что это такое?
        15 апреля 2024
      • Наказания за нарушение закона 187-ФЗ "О безопасности критической информационной инфраструктуры"
        2 апреля 2024
      • Категорирование критической информационной инфраструктуры в 2024 году
        2 апреля 2024
      • О порядке перехода субъектов Критической информационной инфраструктуры РФ
        5 марта 2024
      • Защита объектов критической информационной инфраструктуры (КИИ)
        21 августа 2023
      • КИИ - критическая информационная инфраструктура в 2023 году?
        15 августа 2023
      • Организационно-распорядительной документация по обеспечению безопасности значимых объектов КИИ
        18 февраля 2021
      • 187-ФЗ «О безопасности КИИ РФ» официальная позиция ФСТЭК к выполнению требований субъектами
        21 декабря 2020
      • Ключевые изменения Приказа ФСТЭК №239 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ)» внесенные приказом ФСТЭК №35
        16 сентября 2020
      • Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
        19 марта 2020
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Партнеры
      Карта партнера
      Конфиденциальность
      Политика
      Доверенности
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400074, г. Волгоград, ул. Козловская, д. 71
      resp@ec-rs.ru
      © 2025 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.