Безопасность КИИ - Безопасность объектов критической информационной инфраструктуры

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

• здравоохранение;
• наука;
• транспорт;
• связь;
• энергетика;
• банковская сфера и иные финансовые сферы;
• топливно-энергетический комплекс;
• область атомной энергии;
• оборонная промышленность;
• ракетно-космическая промышленность;
• горнодобывающая промышленность;
• металлургическая промышленность;
• химическая промышленность;
• юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

У каждого субъекта КИИ есть объекты КИИ:

• информационные системы;
• автоматизированные системы управления технологическими процессами;
• информационно-телекоммуникационные сети.

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?

С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

• социальная;
• политическая;
• экономическая;
• экологическая;
• значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

• разработка технического задания;
• разработка модели угроз информационной безопасности;
• разработка технического проекта;
• разработка рабочей документации;
• ввод в действие.

Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: «СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:

• по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
• по истечению 3-х лет со дня осуществления последней плановой проверки.

Внеплановые проверки будут проводиться в случае:

• по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
• возникновения компьютерного инцидента, повлекшего негативные последствия;
• по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог. 

Мы пишем о том, что делаем!

Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:

• аудит существующей инфраструктуры;
• классификацию имеющихся информационных активов;
• оценку рисков информационной безопасности;
• разработку модели угроз информационной безопасности;
• проведение категорирования объектов критической информационной инфраструктуры ;
• определение уровня соответствия требованиям регуляторов по защите информации;
• разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
• формирование бюджета на мероприятия по защите информации.

А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.

Материалы по теме:

• FAQ КИИ. СОВСЕМ КОРОТКО НО ОЧЕНЬ ПОЛЕЗНО О КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЕ
• КИИ В СФЕРЕ ЗДРАВООХРАНЕНИЯ

Компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» является ведущим системным интегратором ЮФО.
Основные направления деятельности Компании в области информационной безопасности:

• Выполнение работ Положению 684-П и 683-П Центрального банка РФ;
  

• Обеспечение сетевой безопасности, проведение аудитов информационной безопасности;

• Проведение анализа реальной защищенности предприятия по части ИБ – PENTEST;

• Обеспечение исполнения требований по защите персональных данных (ФЗ-152), включая Регламент Европейского Союза (GDPR);

• Поставка продуктов по информационной безопасности;

• Полный комплекс работ по соответствию ФЗ-187, безопасность критической информационной инфраструктуры;

• Организация контроля за утечками информации (DLP решения);

• Внедрение систем управления событиями и инцидентами безопасности (SIEM решения).

При реализации проектов по информационной безопасности, мы предлагаем комплексный подход построения систем защиты, учитывая все особенности специфики деятельности предприятия. Каждый проект строится на основе анализа всех успешных и неудачных киберинцидентов происходящих в мире, а также на опыте ведущих разработчиков систем информационной безопасности.

Если у вас есть сомнения по поводу надежности системы информационной безопасности вашего предприятия или вы считаете, что необходимо провести работы по улучшению существующей системы – обращайтесь!