Уже достаточно длительное время при урегулировании вопросов в области ИБ активно применяется понятие критической информационной инфраструктуры. КИИ — это совокупность автоматизированных управляющих систем, ИС, информационно-телекоммуникационных сетей и элементов электросвязи, применяемых при взаимодействии госструктур и частных организаций. Если по комплексу признаков предприятие относится к числу субъектов КИИ, то ему надлежит выполнять установленные законом требования по обеспечению и поддержанию высокого уровня безопасности данных.
Определение спектра мероприятий, направленных на защиту сведений, их проведение и настройку СЗИ в соответствии с особенностями деятельности компании — трудоемкий, длительный процесс, предполагающий наличие особых знаний и навыков. Наш центр поможет провести категорирование и другие виды работ, необходимых для обеспечения безопасности КИИ на всех уровнях и предупреждения претензий со стороны регулирующих органов. Делегирование полномочий по поддержанию ИБ — распространенная практика, особенно в свете недавних изменений законодательной базы, согласно которым собственники объектов критической инфраструктуры должна перевести свои ресурсы на отечественный софт и оборудование.
ФЗ-187 — основной нормативно-правовой акт в отношении КИИ
Основным документом, определяющим, что такое критическая информационная инфраструктура Российской Федерации, является ФЗ-187, который начал действовать с первого января 2018 года. Документ устанавливает:
- обозначения ключевых понятий;
- совокупность нормативно-правовой документации, регулирующей деятельность субъектов КИИ;
- создание системы ГосСОПКА и НКЦКИ;
- дифференциацию категорий объектов критической инфраструктуры, а также формирование их реестра;
- перечень прав и обязанностей организаций, подпадающих под действие закона;
- правила проведения проверки уровня защищенности;
- органы, отвечающие за государственный контроль, и процедуру его проведения.
Список отраслей, относящихся к критической инфраструктуре
Приступать к разработке и внедрению мер и средств ИБ имеет смысл только после того, как четко понятно, что предприятие подпадает под действие ФЗ-187. В настоящий момент установлены следующие сферы КИИ:
- генерация энергетических ресурсов и снабжение ими населения, предприятий и т.д. (включая атомную энергетику);
- банковская и иная финансовая деятельность;
- организация охраны здоровья граждан;
- транспортное обеспечение;
- научные исследования и их апробация;
- горнодобывающий комплекс;
- металлургия;
- химическое производство;
- ракетостроение, космическая промышленность;
- оборонный комплекс;
- связь;
- топливная промышленность.
Нужно учитывать, что Федеральный закон не касается непосредственно перечисленных отраслей, а только ИС, коммуникационных и других сетей, которые в них используются.
Что является объектом КИИ по закону?
При анализе нормативно-правовой базы необходимо, прежде всего, сориентироваться в терминологии. Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. При этом не имеет значения степень важности этих ИС, автоматизированных систем управления и телекоммуникаций и связи для самого предприятия. Главное — это то, что они классифицируются как часть КИИ страны, соответственно, требуют повышенной защиты от внутренних и внешних угроз.
Основная часть условий по обеспечению безопасности в рамках ФЗ-187 касается только тех объектов, которые в результате категорирования признаются значимыми.
Субъекты КИИ и их обязанности
Основой для идентификации выступает закон «О безопасности КИИ РФ», а также другие ФЗ и ОКВЭД, при помощи которых можно понять, к какой конкретно сфере относится компания. В качестве субъекта может выступать:
- орган муниципальной власти;
- государственная структура федерального уровня;
- государственные учреждения;
- юридические лица, зарегистрированные на территории российского государства.
Общее условие для всех — владение информационно-телекоммуникационными системами, автоматизированными элементами управления либо ИС, которые относятся к отраслям КИИ. Основание для распоряжения сетями может быть любым — оформленное по всем правилам право собственности, договор аренды и т.д. Также к числу субъектов относятся компании и предприниматели, которые осуществляют деятельность, обеспечивающую взаимодействие ИТКС, АСУ и информационных систем.
Чтобы полностью отвечать актуальным требованиям закона в отношении критической информационной инфраструктуры Российской Федерации, госорганам, частным фирмам и учреждениям необходимо:
- Своевременно осуществлять передачу сведений об инцидентах, независимо от причин их возникновения, а также проводить тщательные расследования.
- Выполнить категоризацию объектов, чтобы гарантировать безопасность объектов КИИ. Процедура предполагает глубокий анализ всех аспектов деятельности с учетом предусмотренных законом критериев, в числе которых: серьезность последствий хакерской атаки для экологической обстановки, размер ущерба российскому населению и государству в целом при краже данных, влияние на обороноспособность РФ и действие правоохранительной системы.
- Проинформировать о проведенной категоризации ФСТЭК и добиться добавления сведений в единый Реестр объектов критической инфраструктуры.
- Исполнять действующие условия эксплуатации КИИ, своевременно корректировать меры безопасности в случае изменения правовых нормативов, в частности, осуществлять переход на отечественное оборудование и ПО.
Как обеспечивается информационная безопасность КИИ?
Проконсультироваться по поводу того, относится ли ваше предприятие к субъектам КИИ, можно у наших экспертов в сфере информационной безопасности (если своими силами это определить не получается). Следующий этап — сделать так, чтобы критическая информационная инфраструктура функционировала без сбоев, а также была в достаточной степени защищена от внешних и внутренних угроз безопасности. Весь спектр работ можно разделить на:
- Выделение категорий объектов по степени значимости. Процедура включает формирование комиссии, составление и согласование точного списка исследуемых объектов с последующей отправкой его в ФСТЭК, сбор исходных сведений и изучение угроз ИБ. На основании полученных сведений осуществляется непосредственно категорирование, после чего данные направляются в контролирующий орган. Дополнительно требуется провести независимую экспертизу проведенных мероприятий.
- Создание проекта и интеграцию системы обеспечения ИБ, в которую включается совокупность мер технического и организационного характера, направленных на поддержание оптимального уровня информационной защиты. Кроме проектирования и внедрения СОИБ КИИ нужно будет подготовить ОРД, и для этого целесообразнее привлечь специалистов, чтобы не терять время и выполнить многочисленные нормативно-правовые требования.
При грамотном подходе к обеспечению безопасности объектов КИИ защита информации будет на высоком уровне, что является залогом поддержания хорошей репутации, отсутствия штрафных санкций и постоянных проблем с утечкой данных. При этом сертифицированные СЗИ, приобретение и настройка которых сопряжены с существенными финансовыми и трудозатратами, необходимы не всегда. Определить наиболее удачные технические решения помогут сотрудники нашего центра, к которым можно обратиться по указанному на сайте телефону либо с помощью отправки онлайн-запроса.