Критическая информационная инфраструктура (КИИ)

Субъекты критической информационной инфраструктуры обязаны исполнять ряд правил для того, чтобы не платить штрафы и не нести уголовную ответственность, которая возлагается на нарушителей. При этом есть разные подходы к обеспечению ИБ значимых и не значимых объектов КИИ — разобраться с тем, какие способы и средства противодействия угрозам следует выбирать, позволяет категорирование. Есть еще один важный нюанс — защитные меры потребуются всем видам организаций, начиная от государственных структур и компаний, заканчивая ИП, в том числе тем, кто не является владельцем АСУ, ИТКС или ИС, но координирует их работу.

Нюансы, связанные с обеспечением безопасности объектов КИИ, прописаны в приказах ФСТЭК № 235 и № 239. В соответствии с ними, предприятие обязано разработать и внедрить систему ИБ, чтобы не только снижать вероятность кибератак, но и оперативно останавливать злоумышленников, бороться с последствиями инцидентов. Контролировать процесс отслеживания, реагирования и передачи сведений в ГосСОПКА должны сотрудники отдельного департамента. Работники, отвечающие за защиту ЗОКИИ, не должны привлекаться ни к каким другим процессам, которые касаются обеспечения информационной безопасности. Это означает, что персонал, занимающийся настройкой, интеграцией либо эксплуатацией компонентов ИТ-инфраструктуры, для этих целей не подходит — нужно нанимать узкопрофильных специалистов.