01 января 2018 года вступил в силу закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Что такое КИИ
КИИ — это объекты информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства.
Такие объекты называются объектами критической информационной инфраструктуры (объекты КИИ).
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
Кто попадает под действие закона о безопасности КИИ
К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сферах:
Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банки
ТЭК
Атомная энергия
Оборонная и ракетно-космическая промышленность
Горнодобывающая промышленность
Металлургическая промышленность
Химическая промышленность
Субъекты КИИ
Требования Закона затрагивают организации , которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ:
Государственные органы и учреждения
Юридические лица
Индивидуальные предприниматели
Безопасность КИИ порядок действий
В соответствии с законом субъекты КИИ должны:
Провести категорирование объектов КИИ.
Обеспечить интеграцию в ГосСОПКА.
Принять организационные и технические меры по обеспечению безопасности объектов КИИ.
Категорирование объектов КИИ
Необходимо провести категорирование всех своих объектов КИИ и сообщить о них в письменной форме в ФСТЭК для внесения сведений в реестр значимых объектов КИИ.
Значимые объекты КИИ
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается 3 категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна категория. Те объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые необходимо учесть.
Роль ФСТЭК
Функции ФСТЭК состоят в категорировании и ведении реестра значимых объектов КИИ, разработке требований по обеспечению информационной безопасности объектов КИИ и контроле их выполнения.
ФСТЭК является одним из основных регуляторов закона ФЗ РФ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», наряду с ФСБ.
ГосСОПКА
ГосСОПКА
ГосСОПКА—это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Входит в зону ответственности ФСБ РФ.
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак:
- уполномоченные подразделения ФСБ России;
- национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
- подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении и предупреждении компьютерных инцидентов.
Интеграцией с ГосСОПКА
Интеграцией с ГосСОПКА требует от субъекта КИИ:
- информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
- оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу.
Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Собственный центр ГосСОПКА
Создание центра ГосСОПКА не является обязательным, и, более того, данный шаг должен быть согласован с ФСБ России.
Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА
Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.
Роль ФСБ
ФСБ отвечает за практические аспекты безопасности, являясь главным центром ГосСОПКА
Органы ФСБ РФ будут проводить оценку безопасности объектов КИИ. А также анализировать сведения от технических средств ГосСОПКА.
ФСБ является одним из основных регуляторов закона ФЗ РФ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», наряду с ФСТЭК.
Обеспечение безопасности объектов КИИ
Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА . Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение субъекта.
Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:
- Cоздать систему безопасности значимого объекта КИИ в соответствии с требованиями ФСТЭК;
- Реагировать на компьютерные инциденты. Порядок реагирования определяет ФСБ России;
- Предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок. Законом предусматриваются как плановые, так и внеплановые проверки.
Плановые проверки будут проводиться каждые 3 года, внеплановые – по произошедшим инцидентам, поручениям президента и правительства или по требованию прокуратуры.
Позвоните нам по телефону 8-800-301-2000 или напишите на почту office@abak2000.ru для получения предварительного расчета ТКП.
Кто контролирует выполнение закона о безопасности КИИ
Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК России и ФСБ России.
ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.
ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и программано-технических средств обнаружения, предупреждения и ликвидации последствий компьютерных атак, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак.
В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.
Что будет, если требования закона не выполнить
В УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.
Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность».
Как мы можем Вам помочь
Мы обладаем необходимыми компетенциями и предлагаем свои услуги по комплексной защите субъектов КИИ от угроз информационной безопасности и выполнению требований ФЗ-187 на всех этапах исполнения.
1.Определим системы, подпадающие под требования ФЗ-187.
2. Проконсультируем как и какие категории значимости нужно присвоить выявленным системам и как согласовать со ФСТЭК.
3. Определим минимальный список решений, который необходим для выполнения требований ФЗ -187 для любой категории значимости.
4. Сформируем поэтапный план внедрения систем защиты.
5. Проведём пилотные тестирования решений по защите информации.
6. Спроектируем систему защиты в зависимости от присвоенной категории значимости.
7. Настроим имеющиеся системы защиты согласно проекту защиты.
8. Внедрим недостающие средства защиты согласно проекту защиты и результатам пилотных тестирований.