Что является критической персональной компьютерной наработкой
1 января, с приходом нового 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, мы постараемся ответить на самые животрепещущие вопросы.
Какие действия должны предпринять субъекты КИИ для выполнения Закона?
Согласно закону, субъекты КИИ должны:
- провести категорирование объектов КИИ;
- обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- принять организационные и технические меры по обеспечению безопасности объектов КИИ.
Как проводить категорирование объектов КИИ?
Показатели критериев значимости, а также порядок и сроки категорирования определены в «Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации» утверждённых соответствующим постановлением правительства от 8 февраля 2018 г. № 127 (далее – Правила). Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории.
Согласно Правилам, процедура категорирования включает в себя:
- Определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности.
- Выявление критических процессов, то есть тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
- Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.
- Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.
- Оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.
- Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Максимальный срок категорирования объектов КИИ – 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).
А если требования Закона не будут выполнены?
Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.
Старший аналитик по информационной безопасности, Kaspersky ICS CERT
Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской
Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми
подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации,
что ожидается и что необходимо предпринять.
КТО МЫ, КИИ ИЛИ НЕ КИИ?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные финансовые сферы;
- топливно-энергетический комплекс;
- область атомной энергии;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность;
- юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
"Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187."
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай
разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что « к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления ».
- информационные системы;
- автоматизированные системы управления технологическими процессами;
- информационно-телекоммуникационные сети.
- Банковская сфера и иные сферы финансового рынка
- Топливно-энергетический комплекс
- Атомная промышленность
- Военно-промышленный комплекс
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
- Наука, транспорт, связь
- ЮЛ и ИП которые взаимодействуют с системами КИИ
- Информационные системы
- Информационно-телекоммуникационные сети
- Автоматизированные системы управления технологическими процессами (АСУ ТП)
Процесс определения принадлежности к субъекту КИИ не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?
С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
- социальная;
- политическая;
- экономическая;
- экологическая;
- значимость для обеспечения обороны страны, безопасности государства и правопорядка.
Результатом второго этапа является « Акт категорирования объекта КИИ », который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.
- разработка технического задания;
- разработка модели угроз информационной безопасности;
- разработка технического проекта;
- разработка рабочей документации;
- ввод в действие.
ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?
- по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
- по истечению 3-х лет со дня осуществления последней плановой проверки.
- по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
- возникновения компьютерного инцидента, повлекшего негативные последствия;
- по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности КИИ. Следите за нашими обновлениями в блоге на Securitylab, на корпоративном сайте и на нашей странице в Facebook .
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Что делать после определения статуса субъект КИИ?
Какие процессы считаются критическими?
Для определения перечня критических процессов необходимо определить тип процесса:
- управленческий;
- технологический;
- производственный;
- финансово-экономический;
- иной.
Далее, основываясь на процессах, входящих в один из четырех выше представленных типов, выбираются процессы, нарушение или прекращение которых может привести к хотя бы одному из последствий:
- социальному;
- экономическому;
- экологическому;
- политическому;
- негативному последствию для обеспечения обороны страны, безопасности государства и правопорядка.
Если нарушение и (или) прекращение процесса может привести к негативным последствиям, то такие процессы являются критическими.
Как определить перечень объектов КИИ?
Для определения перечня объектов КИИ необходимо ответить на следующие вопросы:
- система обрабатывает информацию, необходимую для обеспечения критического процесса?
- система осуществляет управление критического процесса?
- система осуществляет контроль критического процесса?
- система осуществляет мониторинг критического процесса?
Если по результатам определения выявлено, что система выполняет хотя бы одно из требований, то данная система является Объектом КИИ.
Если система не выполняет ни одно из требований, то система не является Объектом КИИ.
Согласно ГОСТ Р 51275-99, обработка информации это – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Трудно представить систему, которая обеспечивает критический процесс, но не обрабатывает информацию, необходимую для обеспечения критического процесса, поэтому все системы скорее всего войдут в перечень объектов.
Мы знаем на сколько сложный процесс выполнения требований 187-ФЗ «О безопасности КИИ», поэтому всегда готовы БЕСПЛАТНО проконсультировать вас по вопросам проведения работ. Для получения консультации, отправьте запрос, и мы вам поможем. | БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ |
Как выглядит форма перечня объектов КИИ, направляемая в ФСТЭК?
Как определить последствия каждой системы в результате компьютерного инцидента?
Для определения последствий в результате компьютерного инцидента, необходимо использовать Постановление Правительства №127 от 08.02.2018 (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Как провести категорирование?
Основываясь на последствиях каждому объекту присваивается категория, которые описываются в Постановлении Правительства №127 от 08.02.2018 (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Рекомендуем ознакомиться с нашим обзором проекта постановления о внесении дополнений в Постановление Правительства №127 от 08.02.2018 г.Посмотреть обзор
Какие сведения направляются в ФСТЭК по результатам проведения категорирования?
В ФСТЭК направляются сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Перечень сведений регламентирован Приказом ФСТЭК от 22 декабря 2017 г. N 236.
Коллеги, используя свой блог как площадку для обмена опытом и наработками по тематике КИИ, с согласия автора публикую в неизменном виде анализ 235-го приказа ФСТЭК, проведенный Начальником отдела защиты информации Трубной металлургической компании Александром Севостьяновым.
Документ кратко, но ёмко описывает процесс создания безопасности критической инфраструктуры и состав сил и средств.
Документ подготовлен в целях упрощенного восприятия юридической информации требований Приказа и местами дополнен примечаниями автора.
(все комментарии и примечания автора являются его частным мнением)
Что можно понимать под понятием «создание» (ибо 239-м Приказом определена еще и требования к безопасности при «эксплуатации»). Таким образом, 235-й Приказ первичен, по отношению к 239-му. Создание, если исходить из формулировок Приказа: «Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя: правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности (защиты информации) субъектов КИИ». При этом, основная цель, это устойчивоефункционирование значимых объектов КИИ! То есть, если кратко: это комплекс взаимосвязанных мер, на основе организационной распорядительной документации!
При этом, помним, что: п о решению субъекта КИИ для одногоили группы значимых объектов КИИ могут создаваться отдельные системы безопасности (т.е. видимо есть возможность объединить ряд однородных объектов значимых КИИ в один, в отношении которого можно будет создать единую систему безопасности).
Система создается руководителемсубъекта КИИ (либо уполномоченным лицом). В данном случае, вполне уместно подготовить некий внутренний проект под наименованием «Создание системы безопасности КИИ Предприятия», что утверждается Приказом руководителя, либо, в виде простого перераспределения функционала, определенного Приказом на ряд выбранных СП, что также утверждается Приказом руководителя.
- СП и работники, ответственные за безопасность значимых объектов КИИ;
- СП и работники, эксплуатирующие значимые объекты КИИ;
При этом, системы безопасности должны функционировать в соответствии с организационно-распорядительной документацией (т.е.: как сопроводительная, так и подготовленная Предприятием самостоятельно).
предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами КИИ (прим.: т.е. не всеми), уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов КИИ (прим.: наличие СКУД и видеонаблюдения обязательно);
восстановление функционирования значимых объектов КИИ, в том числе за счет создания и хранения резервных копий необходимой для этого информации;
непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со ст.5 187-ФЗ (ГОССОПКА).
к силам обеспечения безопасности значимых объектов КИИ, а именно: руководитель субъекта КИИ (Предприятия) создает или определяет структурное (или самостоятельное) подразделение (далее – СП), ответственное за обеспечение безопасности значимых объектов КИИ, или назначает (прим.: Приказом ГД) отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, которые выполняют следующие основные функции:
разрабатывают предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представляют их руководителю субъекта КИИ (уполномоченному лицу) ;
проводят анализ угроз безопасности информации в отношении значимых объектов КИИ и выявляют уязвимости в них;
обеспечивают реализацию требований по обеспечению безопасности значимых объектов КИИ, установленных в соответствии со статьей 11 187-ФЗ (п.п. 4 п.6 Закона, т.е. Приказ ФСТЭК № 239);
обеспечивают в соответствии с требованиями по безопасности реализацию организационныхмер и применение средств защиты информации, эксплуатацию средств защиты информации;
осуществляют реагирование на компьютерные инциденты в порядке п.6 части 4 статьи 6 187-ФЗ (т.е. информирование и реагирование, ликвидация);
готовят предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов КИИ;
работники СП по безопасности, штатные специалисты должны обладать знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов КИИ;
не допускается возложение на СП по безопасности, штатных специалистов функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом (прим.: т.е. только целевое использование квалифицированного персонала);
обязанности, возлагаемые на работников СП по безопасности, штатных специалистов, должны быть определены в их должностных регламентах (должностных инструкциях) и до них должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся (тоже самое касается привлекающихся для проведения технических, ремонтных работ подрядчиков);
СП , эксплуатирующиезначимые объекты КИИ, обеспечиваютбезопасность эксплуатируемых ими значимых объектов КИИ, при этом: к оординацию и контроль их деятельности по вопросам обеспечения безопасности значимых объектов КИИ осуществляют СП по безопасности, штатные специалисты;
субъект КИИ не реже 1 раза в год организует проведение методических занятий, лекций, семинаров, иных мероприятий, направленных на повышение осведомленностиоб угрозах безопасности информации и уровня знаний указанных работников по вопросам обеспечения безопасности КИИ (прим.: проводим Security Awareness ).
к ПО и ПАС, применяемым для обеспечения безопасности значимых объектов КИИ, относятся средства защиты информации (СЗИ): в том числе средства защиты информации от НСД(включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений(компьютерных атак), средства антивирусной защиты, средства (системы) контроля(анализа) защищенности, средства управлениясобытиями безопасности, средства защиты каналовпередачи данных (Прим: у многих это уже есть, осталось только переформатировать под значимые КИИ);
для обеспечения безопасности значимых объектов КИИ должны применяться СЗИ, прошедшие оценкусоответствия требованиям по безопасности в формах обязательной сертификации, испытаний или приемки;
СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ;
с иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации;
параметры и характеристики применяемых СЗИ должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов КИИ, принимаемыми в соответствии с требованиями по безопасности;
в качестве СЗИ в приоритетном порядке подлежат применению СЗИ, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов КИИ (при их наличии);
СЗИ должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на СЗИ;
применяемые СЗИ должны быть обеспечены гарантийной, технической поддержкой (т.е.: FreeWare не подойдет. При этом, варианты, когда СЗИ куплено, но не обслуживается по гарантии, вполне допустимы, хотя техническую поддержку придется восстановить)*;
при выборе СЗИ необходимо учитывать наличие ограничений на возможность их применения субъектом КИИ на любом из принадлежащих ему значимых объектов КИИ со стороны разработчиков (производителей) или иных лиц;
порядок применения СЗИ определяется субъектом КИИ в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта КИИ.
*Прим.: Предприятиям будет необходимо провести проверку наличия документов, подтверждающих право собственности на СЗИ.
ОРД по безопасности значимых объектов являются частью общей системы документов (стандартов организации) по вопросам обеспечения информационной безопасности (защиты информации) субъекта КИИ. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта КИИ;
ОРД по безопасности значимых объектов разрабатываются применительно к особенностямдеятельности субъекта КИИ на основе настоящих требований, требований по безопасности , иных нормативных правовых актов в области обеспечения безопасности КИИ и защиты информации;
ОРД должны определять: 1 - цели и задачиобеспечения безопасности значимых объектов КИИ; 2 - основные угрозы безопасности информации и категории нарушителей; 3 - основные организационные и технические мероприятияпо обеспечению безопасности значимых объектов КИИ; 4 - состави структуру системы безопасности и функции ее участников; 5 - порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и СЗИ требованиям по безопасности; 6 - планы мероприятий по обеспечению безопасности значимых объектов КИИ; 7 - модели угроз безопасности информации в отношении значимых объектов КИИ; 8 - порядок реализации отдельных мер по обеспечению безопасности значимых объектов КИИ; 9 - порядок проведения испытаний или приемки СЗИ; 10 - порядок реагирования на компьютерные инциденты; 11 - порядок информирования и обучения работников; 12 - порядоквзаимодействия подразделений (работников) субъекта КИИ при решении задач обеспечения безопасности значимых объектов КИИ; 13 - порядок взаимодействия субъекта КИИ с ГОССОПКА; 14 - правила безопасной работы работников субъекта КИИ на значимых объектах КИИ; 15 - действия работников субъекта КИИ при возникновении компьютерных инцидентови иных нештатных ситуаций .
планирование и разработка мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: разработка СП по безопасности и ежегодного (или более) плана мероприятий по обеспечению безопасности значимых объектов КИИ и его утверждение руководителем субъекта КИИ, включающего: наименованиямероприятий по обеспечению безопасности значимых объектов КИИ, сроки их выполнения, наименования СП (работников), ответственных за реализацию каждого мероприятия; о рганизационные и технические мероприятия по обеспечению безопасности значимых объектов КИИ, направленные на решение задач, установленных требованиями. На основе общего плана, в местах эксплуатации могут готовиться локальныепланы). Выполнение плана контролируетсяСП по безопасности, которые ежегодно готовят отчет по его выполнению);
реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов КИИ (т.е.: является результатом выполнения планамероприятий и осуществляется в соответствии с ОРД по безопасности значимых объектов. В ходе реализации мероприятий по обеспечению безопасности значимых объектов принимаются организационные меры и (или) внедряются СЗИ на значимых объектах КИИ, направленные на блокирование (нейтрализацию) угроз безопасности информации, при этом: результаты подлежат документированиюв порядке, установленном субъектом КИИ в ОРД по безопасности значимых объектов).
контроль состояния безопасности значимых объектов КИИ (т.е.: проводится ежегодно комиссией, назначаемой субъектом КИИ в состав: СП по безопасности, штатные специалисты, подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих функционированиезначимых объектов КИИ, а также иные работники других СП. По результатам готовиться Акт, подписываемый членами комиссии и утверждается руководителем субъекта КИИ, при этом: в случае проведения внешней оценки (внешний аудит силами лицензионной по НСД Организации), внутренний контроль может не проводиться).
совершенствование безопасности значимых объектов КИИ (т.е.: силами СП по безопасности проводится анализ функционирования системы безопасности и состояния безопасности значимых объектов КИИ, по результатам которых разрабатываются предложенияпо развитию системы безопасности и меры по совершенствованию безопасности значимых объектов критической информационной инфраструктуры, которые представляются руководителю субъекта КИИ).
В настоящий момент Предприятию потребуется значительная и глубокая переработка всей локальной нормативной базы по защите информации и приведения ее в соответствии 187-ФЗ, если таковая не имеется (включая документы кадрового администрирования).
Реализация всех требования потребует создания отдельного самостоятельного подразделения по информационной безопасности критической информационной инфраструктуры, либо расширения штатной численности уже имеющихся подразделений защиты информации.
Целесообразность привлечение для целей выполнения всех требований Приказа №235 сторонних профильных Организаций до момента принятия всего пакета ключевой подзаконной нормативной документации по реализации все требований 187-ФЗ, пока под сомнением (однако, в рамках консалтинга это вполне будет уместно).
До момента утверждения перечня объектов КИИ и отправки его во ФСТЭК, у Предприятия есть время для маневра (но не большое).
В Приказах 235 и 239 нет прямыхограничений или запретов на использование удаленной технической поддержки КИИ на территории РФ, оказываемой иностранной Компанией по договору гарантийного обслуживания (в т.ч. из-за границы).
- Ожидание регистрации ключевого Приказа ФСТЭК № 239.
- Ожидание документов ФСБ по ГОССОПКА (но можно и пропустить).
- Изучение учредительных документов Предприятия с целью определения сфер деятельности, подпадающих под 187-ФЗ (по ОКВЭД).
- Изучение собственной нормативной базы по защите информации с целью приведения ее в соответствие на верхних уровнях иерархии (Концепция ИБ, Политика ИБ), включая введение основополагающего термина «КИИ».
- Инвентаризация имеющегося ПО и ПАС с целью определения из возможности по закрытию вопросов безопасности объектов КИИ.
- Определение сил для реализации требований 187-ФЗ (на уровне СП и работников).
- Создание Приказом ГД комиссии ко категорированию.
- Выполнение части требований п. 5 ПП 127 с подготовкой проекта Перечня объектов КИИ, но без отправки его во ФСТЭК.
- Начало приведения в строгое соответствие всей ОРД Предприятия требованиям 235 и 239 ФСТЭК (можно вести параллельно).
- Окончательное завершение требований п.5 ПП 127 (без оставления Актов категорирования).
- Утверждение и отправкаПеречня объектов КИИ во ФСТЭК (в теч. 5 дней) сопроводительным письмом за подписью руководителя субъекта КИИ с подтверждение получения ( DHL , Major Express и т.д.).
- Завершение выполнения требований Приказов ФСТЭК 235 и 239 в части сил и средств защиты КИИ (подготовка и введение в действие ОРД; закупка и внедрение ПО и оборудования и т.д.).
- Продолжение категорирования с составление предусмотренных Актов.
- Утверждение Актов категорирования и отправкаАктов категорирования во ФСТЭК (в теч. 10 дней).
Таким образом , выполнение всех основных требований к созданию систем безопасности КИИ по 235 Приказу и реализация требований безопасности к самим значимым объектам КИИ по 239 Приказу, должна быть выполнена в течении одного года, после отправки Перечня объектов КИИ во ФСТЭК!
Безопасность КИИ или ФЗ-187 О безопасности критической информационной инфраструктуры. Что необходимо сделать для соответствия закону.
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации с КИИ (ФЗ-187), что ожидать и что необходимо предпринять.
Что подразумевается под интеграцией с ГосСОПКА?
Интеграция в ГосСОПКА требует от субъекта КИИ:
- информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
- оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Что такое ГосСОПКА и для чего она нужна?
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА).
К силам ОПЛ КА относятся:
- уполномоченные подразделения ФСБ России;
- национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
- подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.
В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.
Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными – построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.
Для чего нужен Закон?
Новый Закон предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее – объекты КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- атомной энергии;
- оборонной и ракетно-космической промышленности;
- горнодобывающей, металлургической и химической промышленности.
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?
С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:
- социальная;
- политическая;
- экономическая;
- экологическая;
- значимость для обеспечения обороны страны, безопасности государства и правопорядка.
Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.
На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.
Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.
Пройдите экспресс-тест и определите категорию значимости ваших объектов КИИ. По результату теста вы получите значение категории объекта КИИ или её отсутствие и полезный бонус.
Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:
- разработка технического задания;
- разработка модели угроз информационной безопасности;
- разработка технического проекта;
- разработка рабочей документации;
- ввод в действие.
Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: «СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.
Что требуется для обеспечения безопасности объектов КИИ?
Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.
Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:
- Cоздать систему безопасности значимого объекта КИИ;
- Реагировать на компьютерные инциденты. Порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ России до конца апреля текущего года;
- Предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.
Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.
Порядок создания системы и требования к принимаемым мерам безопасности определяются приказом ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Что является целью Закона и как он должен работать?
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.
ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?
Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:
- по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
- по истечению 3-х лет со дня осуществления последней плановой проверки.
Внеплановые проверки будут проводиться в случае:
- по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
- возникновения компьютерного инцидента, повлекшего негативные последствия;
- по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.
И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
Какие организации попадают в сферу действия Закона?
Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.
Мы пишем о том, что делаем!
Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:
- аудит существующей инфраструктуры;
- классификацию имеющихся информационных активов;
- оценку рисков информационной безопасности;
- разработку модели угроз информационной безопасности;
- проведение категорирования объектов критической информационной инфраструктуры ;
- определение уровня соответствия требованиям регуляторов по защите информации;
- разработку плана поэтапной реализации требований законодательства по обеспечению безопасности объектов КИИ;
- формирование бюджета на мероприятия по защите информации.
А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.
Объекты КИИ или КСИИ?
До появления нового закона о КИИ в сфере ИБ существовало похожее понятие ключевых систем информационной инфраструктуры (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».
Кто является собственником ГосСОПКА?
Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.
Может ли субъект КИИ не создавать собственный центр ГосСОПКА?
Решение о создании собственного центра ГосСОПКА субъект КИИ принимает самостоятельно. То есть создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.
Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.
Что подлежит категорированию?
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Что требуется для построения собственного центра ГосСОПКА?
Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:
Для этого в составе технических средств ОПЛ КА могут использоваться:
- средства обнаружения и предотвращения вторжений, в том числе обнаружения целевых атак;
- специализированные решения по защите информации для индустриальных сетей, финансового сектора;
- средства выявления и устранения DDoS-атак;
- средства сбора, анализа и корреляции событий;
- средства анализа защищенности;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- средства криптографической защиты информации для защищенного обмена информацией с другими центрами ГосСОПКА.
Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.
Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.
Кто контролирует выполнение требований Закона?
Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.
ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.
ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.
В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.
Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен постановлением Правительства Российской Федерации от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».
Что в себя включает категорирование объектов КИИ?
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.
По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:
- наименование значимого объекта КИИ;
- наименование субъекта КИИ;
- сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
- сведения о лице, эксплуатирующем значимый объект КИИ;
- присвоенная категория значимости;
- сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
- меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.
Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
КТО МЫ, КИИ ИЛИ НЕ КИИ?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные финансовые сферы;
- топливно-энергетический комплекс;
- область атомной энергии;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность;
- юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!
Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».
У каждого субъекта КИИ есть объекты КИИ:
- информационные системы;
- автоматизированные системы управления технологическими процессами;
- информационно-телекоммуникационные сети.
функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
- Банковская сфера и иные сферы финансового рынка
- Топливно-энергетический комплекс;
- Атомная промышленность;
- Военно-промышленный комплекс;
- Ракетно-космическая промышленность;
- Горнодобывающая промышленность;
- Металлургическая промышленность;
- Химическая промышленность;
- Наука, транспорт, связь;
- ЮЛ и ИП которые взаимодействуют с системами критической информационной инфраструктуры.
- Информационные системы;
- Информационно-телекоммуникационные сети;
- Автоматизированные системы управления технологическими процессами (АСУ ТП).
Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.
Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
Читайте также: