fbpx

Безопасность КИИ: коротко о главном

Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации, что ожидается и что необходимо предпринять.

 

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

 

Какие критерии указывают что вы субъект КИИ?

 

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .

 

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

 

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

 

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

 

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

 

У каждого субъекта КИИ есть объекты КИИ:

  • информационные системы;
  • автоматизированные системы управления технологическими процессами;
  • информационно-телекоммуникационные сети.

 

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

субъекты КИИ и объекты КИИ

Объекты КИИ обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Объекты КИИ

ЧТО ДЕЛАТЬ?

С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

 

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

 

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

 

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

  • социальная;
  • политическая;
  • экономическая;
  • экологическая;
  • значимость для обеспечения обороны страны, безопасности государства и правопорядка.

 

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

 

Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

 

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих — выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

  • разработка технического задания;
  • разработка модели угроз информационной безопасности;
  • разработка технического проекта;
  • разработка рабочей документации;
  • ввод в действие.

 

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

Мы рассмотрели, кто такой субъект КИИ, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:

  • по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
  • по истечению 3-х лет со дня осуществления последней плановой проверки.

 

Внеплановые проверки будут проводиться в случае:

  • по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
  • возникновения компьютерного инцидента, повлекшего негативные последствия;
  • по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

 

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

 

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности КИИ. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

 

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности КИИ. Следите за наши обновления на сайте и на нашей странице в Facebook.

 

Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:

  • аудит существующей инфраструктуры;
  • классификацию имеющихся информационных активов;
  • оценку рисков информационной безопасности;
  • разработку модели угроз информационной безопасности;
  • проведение категорирования объектов КИИ;
  • определение уровня соответствия требованиям регуляторов по защите информации;
  • разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
  • формирование бюджета на мероприятия по защите информации.

А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.

 

Обсудить вопросы безопасности вашего предприятия можно по следующим контактам:

— телефону: 8 800 33 27 53

— почте: sale@ec-rs.ru

— в чате: в правом углу странице →

— в Messenger на нашей странице в Facebook

 

Александрин Яков,

Руководитель по развитию решений,

Компании «Инжиниринговый центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ»

 

PS. По многочисленным просьбам мы создали группу «Безопасность КИИ» в мессенджере Viber. В данной группе вы можете задавать свои вопросы, связанные с данной темой. Наши специалисты стараются максимально быстро отвечать на заданные вопросы. Данная тема весьма обширная и не всегда получается развернуто ответить на вопросы, поэтому при желании мы можем дать подробную консультацию по телефону.

Присоединиться к группе можно отсканировав QR-код:

группа в viber Безопасность КИИ

Назад

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *