Обеспечение безопасности КИИ

Уже достаточно длительное время при урегулировании вопросов в области ИБ активно применяется понятие критической информационной инфраструктуры. КИИ — это совокупность автоматизированных управляющих систем, ИС, информационно-телекоммуникационных сетей и элементов электросвязи, применяемых при взаимодействии госструктур и частных организаций. Если по комплексу признаков предприятие относится к числу субъектов КИИ, то ему надлежит выполнять установленные законом требования по обеспечению и поддержанию высокого уровня безопасности данных.

Определение спектра мероприятий, направленных на защиту сведений, их проведение и настройку СЗИ в соответствии с особенностями деятельности компании — трудоемкий, длительный процесс, предполагающий наличие особых знаний и навыков. Наш центр поможет провести категорирование и другие виды работ, необходимых для обеспечения безопасности КИИ на всех уровнях и предупреждения претензий со стороны регулирующих органов. Делегирование полномочий по поддержанию ИБ — распространенная практика, особенно в свете недавних изменений законодательной базы, согласно которым собственники объектов критической инфраструктуры должна перевести свои ресурсы на отечественный софт и оборудование.

ФЗ-187 — основной нормативно-правовой акт в отношении КИИ

Основным документом, определяющим, что такое критическая информационная инфраструктура Российской Федерации, является ФЗ-187, который начал действовать с первого января 2018 года. Документ устанавливает:

• обозначения ключевых понятий;
• совокупность нормативно-правовой документации, регулирующей деятельность субъектов КИИ;
• создание системы ГосСОПКА и НКЦКИ;
• дифференциацию категорий объектов критической инфраструктуры, а также формирование их реестра;
• перечень прав и обязанностей организаций, подпадающих под действие закона;
• правила проведения проверки уровня защищенности;
• органы, отвечающие за государственный контроль, и процедуру его проведения.

Список отраслей, относящихся к критической инфраструктуре

Приступать к разработке и внедрению мер и средств ИБ имеет смысл только после того, как четко понятно, что предприятие подпадает под действие ФЗ-187. В настоящий момент установлены следующие сферы КИИ:

• генерация энергетических ресурсов и снабжение ими населения, предприятий и т.д. (включая атомную энергетику);
• банковская и иная финансовая деятельность;
• организация охраны здоровья граждан;
• транспортное обеспечение;
• научные исследования и их апробация;
• горнодобывающий комплекс;
• металлургия;
• химическое производство;
• ракетостроение, космическая промышленность;
• оборонный комплекс;
• связь;
• топливная промышленность.

Нужно учитывать, что Федеральный закон не касается непосредственно перечисленных отраслей, а только ИС, коммуникационных и других сетей, которые в них используются.

Что является объектом КИИ по закону?

При анализе нормативно-правовой базы необходимо, прежде всего, сориентироваться в терминологии. Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. При этом не имеет значения степень важности этих ИС, автоматизированных систем управления и телекоммуникаций и связи для самого предприятия. Главное — это то, что они классифицируются как часть КИИ страны, соответственно, требуют повышенной защиты от внутренних и внешних угроз.

Основная часть условий по обеспечению безопасности в рамках ФЗ-187 касается только тех объектов, которые в результате категорирования признаются значимыми.

Субъекты КИИ и их обязанности

Основой для идентификации выступает закон «О безопасности КИИ РФ», а также другие ФЗ и ОКВЭД, при помощи которых можно понять, к какой конкретно сфере относится компания. В качестве субъекта может выступать:

• орган муниципальной власти;
• государственная структура федерального уровня;
• государственные учреждения;
• юридические лица, зарегистрированные на территории российского государства.

Общее условие для всех — владение информационно-телекоммуникационными системами, автоматизированными элементами управления либо ИС, которые относятся к отраслям КИИ. Основание для распоряжения сетями может быть любым — оформленное по всем правилам право собственности, договор аренды и т.д. Также к числу субъектов относятся компании и предприниматели, которые осуществляют деятельность, обеспечивающую взаимодействие ИТКС, АСУ и информационных систем.

Чтобы полностью отвечать актуальным требованиям закона в отношении критической информационной инфраструктуры Российской Федерации, госорганам, частным фирмам и учреждениям необходимо:

1. Своевременно осуществлять передачу сведений об инцидентах, независимо от причин их возникновения, а также проводить тщательные расследования.
2. Выполнить категоризацию объектов, чтобы гарантировать безопасность объектов КИИ. Процедура предполагает глубокий анализ всех аспектов деятельности с учетом предусмотренных законом критериев, в числе которых: серьезность последствий хакерской атаки для экологической обстановки, размер ущерба российскому населению и государству в целом при краже данных, влияние на обороноспособность РФ и действие правоохранительной системы.
3. Проинформировать о проведенной категоризации ФСТЭК и добиться добавления сведений в единый Реестр объектов критической инфраструктуры.
4. Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО.

Как обеспечивается информационная безопасность КИИ?

Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности (если своими силами это определить не получается). Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на:

1. Выделение категорий объектов по степени значимости. Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ. На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий.
2. Создание проекта и интеграцию системы обеспечения ИБ, в которую включается совокупность мер технического и организационного характера, направленных на поддержание оптимального уровня информационной защиты. Кроме проектирования и внедрения СОИБ КИИ нужно будет подготовить ОРД, и для этого целесообразнее привлечь специалистов, чтобы не терять время и выполнить многочисленные нормативно-правовые требования.

При грамотном подходе к обеспечению безопасности объектов КИИ защита информации будет на высоком уровне, что является залогом поддержания хорошей репутации, отсутствия штрафных санкций и постоянных проблем с утечкой данных. При этом сертифицированные СЗИ, приобретение и настройка которых сопряжены с существенными финансовыми и трудозатратами, необходимы не всегда. Определить наиболее удачные технические решения помогут сотрудники нашего центра, к которым можно обратиться по указанному на сайте телефону либо с помощью отправки онлайн-запроса.