Выполнение требований ФЗ-187

Критическая информационная инфраструктура

Согласно федеральному закону 187 к критической информационной инфраструктурой относят информационные системы, информационные и телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые субъектами для организации взаимодействия между собой.

Критическую информационную инфраструктуру от некритической в первую очередь отличает исключительность для безопасности государства и её граждан на уровне:

  • Целостности страны;
  • Общественных институтов;
  • Информационной независимости;
  • Экологии;
  • Экономики;
  • Транспорта;
  • Энергетики;
  • Безопасности личности.

Безопасность КИИ и требования ФЗ-187

Безопасность критической информационной инфраструктуры — это многофакторный механизм, состоящий из ряда инструментов, созданный для защиты от киберугроз и поддержания бесперебойной работы ключевых процессов предприятий. Главная киберугроза для КИИ — компьютерные атаки. К компьютерным (хакерским, кибер) атакам относят намеренное воздействие вредоносного программного обеспечения на целостность или функциональность ПО физических или юридических лиц. Цель таких атак — частичное или полное нарушение функционирования информационной инфраструктуры (компьютерный инцидент).

Выполнение ФЗ-187 и обеспечение безопасности КИИ включает:

  • Выявление, относится ли компания к объектам критической информационной инфраструктуры (далее, если относится);
  • Оценку функционирующей системы безопасности информационной инфраструктуры;
  • Категорирование объектов критической информационной инфраструктуры;
  • Разработка и внедрение обновленной безопасности КИИ;
  • Сопровождение и техобслуживание защитного ПО и аппаратов;
  • Обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации.

Отправьте нам Ваше техническое задание

Если у вас есть техническое задание. Техническое задание значительно облегчит расчет стоимости и ускорит ответ нашего специалиста.

Отправить техническое задание

Когда предприятие внедряет комплексную защиту КИИ, то в первую очередь защищает свои производственные процессы от ЧП из-за кибер атак. Если же нападение все таки не удалось избежать — наличие инструментов безопасности критической информации освобождает от уголовного преследования (до 10 лет лишения свободы).

Помимо наказаний за факты кибератак и сбои в работе КИИ, судебные разбирательства предусмотрены за несоблюдение требований ФЗ-187. Следят и проверяют выполнение требований закона по обеспечению безопасности объектов КИИ контролирующие органы, а также регуляторы:

  • ФСТЭК;
  • ГосСОПКА;
  • ФСБ;
  • Минкомсвязь;
  • Прокуратура РФ и т.д.

Объекты и субъекты КИИ

Согласно ФЗ-187 к объектам критической информационной инфраструктуры относят информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (ИС, ИТС и АСУ ТП), которые используются субъектами КИИ.

Субъектами критической информационной инфраструктуре называют государственные органы и учреждения, российские юрлица и ИП, которые так или иначе внутренними бизнес-процессами связаны с объектами КИИ. Для того, чтобы считаться субъектом КИИ требуется работа в критической для безопасности и суверенности государства отрасли:

  • здравоохранение;
  • наука и образование;
  • транспорт и логистика;
  • связь;
  • банки и финансы;
  • недвижимость;
  • топливно-энергетический комплекс;
  • атомно-энергетическая;
  • промышленность:
    • оборонная;
    • ракетно-космическая;
    • горнодобывающая;
    • металлургическая;
    • химическая.

План выполнения требований ФЗ-187.

Определение принадлежности к субъектам Критической информационной инфраструктуре

Согласно определению из ФЗ-187 субъекты КИИ —  это организации, которые юридически владеющие объектами из перечисленных отраслей, а не работающие в этих или смежных сферах по факту. Для определения принадлежности ФСТЭК используют: ОКВЭД и ОКОГУ; лицензии, сертификаты и другие документы на виды деятельности; учредительные приказы, уставы, положениями организации и т.д.

Если после изучения документации определяется, что организация — субъект КИИ, то ей ИС, ИТС и АСУ ТП становятся потенциальными объектами критической инфраструктуры.

Категорирование объектов

Категорирование объектов КИИ — чрезвычайная задача: если хоть один объект не будет учтен документально или по факту, то даже без факта ЧП при ближайшей проверке это повлечет административную и уголовную ответственность.

Вместе с этим нередки случаи, когда у субъекта КИИ нет подлежащих категорированию объектов. В таких ситуациях составляют Акт об отсутствии объектов критической информационной инфраструктуры и держат с отчетами в архиве на случай проверки.

Регламент категорирования:

  1. Комиссия по категорированию КИИ. Часто директор или владелец выступает инициатором и координатором. В состав этой группы он привлекает руководителей подразделений компании: Безопасность, IT, Производство и АСУ, Финансы и бухгалтерия + другие отделы. Помимо менеджеров необходимы эксперты по интернет-безопасности. Законодательства и требования по ИБ постоянно дополняются и требуется знать все особенности темы;
  2. Выявление критичных процессов. Руководители направлений внутри отдела определяют все БП (пристальное внимание на критические) и фиксируют их. Далее выясняет, наличие среди обозначенного списка процессов тех, что связаны с ИС, ИТС или АСУ. Если такие есть — обозначает в перечне для ФСТЭК;
  3. Категорирование критической информационной инфраструктуры. Руководствуясь таблицей из Постановления правительства 127 разделяем критические процессы на категории:
    • Социальные;
    • Политические;
    • Экономические;
    • Экологические;
    • Оборона страны.

Разделив все БП по категория составляем документацию и готовим к передаче в надзорные органы: Сведения о субъекте КИИ; об объекте КИИ; о взаимодействии объекта КИИ и сетей электросвязи; о лице, эксплуатирующем объект КИИ; о ИС, ИТС, АСУ; Анализ угроз и нарушителей; Оценка возможных последствий; Акт категорирования.

Безопасность значимых объектов

Доработка и дополнительные внедрения в систему безопасности критической информационной инфраструктуры — определяющий этап выполнения ФЗ-187. Если аудит провели тщательно, развертывание спланированных мер пройдет быстрее.

Работа с регуляторами и надзорными органами

Правительство разработало ФЗ-187 для собственных нужд — комплексная защита критической информационной инфраструктуру от изученных IT-угроз. Такой подход позволил создать защитный механизм для всех критически важных объектов через всестороннюю киберзащиту каждого отдельного элемента.

Соблюдение ФЗ-187 и обеспечение безопасности КИИ для организаций — это в первую очередь корпоративная необходимость, а не бюрократическая формальность.