Критическая информационная инфраструктура (КИИ)

Во избежание штрафов и уголовной ответственности субъекты критической информационной инфраструктуры (КИИ) обязаны соблюдать установленные требования. Ключевым инструментом для определения необходимых мер защиты является категорирование, которое позволяет дифференцировать подход к обеспечению информационной безопасности для значимых и незначимых объектов КИИ. Важно отметить, что обязанность по выполнению защитных мер распространяется на все виды организаций — от государственных структур и компаний до индивидуальных предпринимателей. Это касается в том числе и тех субъектов, которые не являются владельцами АСУ, ИТКС или ИС, но координируют их работу.

Требования к обеспечению безопасности объектов КИИ регламентированы приказами ФСТЭК № 235 и 239. Согласно им, организация обязана создать и внедрить систему защиты информации, предназначенную не только для снижения вероятности кибератак, но и для оперативного противодействия злоумышленникам, а также ликвидации последствий инцидентов. Контроль за процессами мониторинга, реагирования и передачи информации в ГосСОПКА должен осуществляться сотрудниками специализированного подразделения. При этом персонал, отвечающий за защиту значимых объектов КИИ (ЗОКИИ), не может быть задействован в иных задачах по обеспечению информационной безопасности. Это означает, что для данных целей не подходят сотрудники, занимающиеся настройкой, интеграцией или эксплуатацией ИТ-инфраструктуры, — требуется привлекать узкопрофильных специалистов.