Субъект критической информационной инфраструктуры это

Содержание
  1. Безопасность критической информационной инфраструктуры
  2. Ответственность
  3. Нормативная база
  4. Способы определения субъектности
  5. Как происходит процесс категорирования объектов КИИ?
  6. Сроки
  7. Все ли успели к 1 августа?
  8. Кто попадает в сферу действия закона?
  9. Какие документы необходимо направить во ФСТЭК?
  10. Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?
  11. Защита критической информационной инфраструктуры (КИИ)
  12. Что такое критическая информационная инфраструктура?
  13. Объекты КИИ — это имеющиеся у субъектов КИИ:
  14. Под субъектами КИИ понимаются:
  15. Какие действия должны предпринять субъекты КИИ для выполнения Закона?
  16. Этапы выполнения требований законодательства по защите объектов КИИ
  17. Категорирование объектов КИИ
  18. Порядок категорирования объектов КИИ:
  19. Какие объекты КИИ подлежат категорированию?
  20. Проектирование и внедрение систем защиты объектов КИИ
  21. Комплекс услуг по проектированию системы защиты объекта КИИ включает:
  22. Комплекс услуг по внедрению систем защиты объектов КИИ включает:
  23. Чем грозит не выполнение требования Закона о безопасности КИИ
  24. Требования для операторов по критической информационной инфраструктуре
  25. Что такое КИИ?
  26. Субъект и объект КИИ
  27.    Оператор связи это субъект КИИ?  
  28. С чего начать?
  29.    Сроки исполнения  
  30. Правовая база
  31. Безопасность КИИ: как определить, что делать и что если не делать
  32. Что делать если вы субъект кии?
  33. Что будет если этого не делать?

Безопасность критической информационной инфраструктуры

Субъект критической информационной инфраструктуры это
sh: 1: –format=html: not found

Основной регулятор – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В связи с введением законодательства полномочия ФСТЭК были расширены. Эта служба контролирует выполнение законодательства в части защиты КИИ.

Минкомсвязь России – регулятор в области связи. Объекты электросвязи также относятся к объектам КИИ.

Центральный Банк РФ регулирует финансовую и банковскую сферу.

В части подключения к ГосСОПКА регулятором является ФСБ России. Предварительное следствие по правонарушениям в области защиты КИИ ведут следователи ФСБ (соответствующие изменения внесены в уголовно-процессуальный кодекс).

Все законы, касающиеся безопасности КИИ, были приняты вместе с ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), поправками к ФЗ-194 (изменения в Уголовный кодекс и Уголовно-процессуальный кодекс), ФЗ-193 (законодательство по государственной тайне).

Ответственность

Максимальный срок наказания – до 10 лет лишения свободы в случае инцидента с тяжкими последствиями. До 6 лет – в случае инцидента, следствием которого явилось нарушение правил эксплуатации. Ответственность возлагается как на руководителя, так и на лиц, которые отвечают за безопасность, функционирование объекта, автоматизированных систем управления.

Нормативная база

Был принят целый пакет нормативных актов.

Постановление Правительства № 127 (Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений) определяет порядок категорирования КИИ и перечня показателей критериев значимости (их 5). Каждому критерию присваиваются категории значимости (от 1 до 3). В постановлении были также утверждены сферы нарушений.

Способы определения субъектности

Существует 2 способа определения субъектности:

1) Оценка сферы деятельности организации. Если сфера деятельности попадает в 13 сфер деятельности субъекта согласно ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), то мы оцениваем только те информационные системы, которые используются организацией для осуществления этих видов деятельности.

2) Определение, какие информационные системы и АСУ (автоматизированные системы управления) могут осуществлять свои функции в указанных сферах деятельности. Только тогда принимается обоснованное решение о том, попадает организация под действие закона или нет.

Как происходит процесс категорирования объектов КИИ?

В процессе категорирования проверяется важность и значимость объектов. В результате компьютерной атаки на объекты возникают последствия, и масштаб этих последствий оценивается согласно критериям, описанным в Постановлении Правительства № 127. Последствия могут быть в социальной сфере, экологической; они могут влиять на гособоронзаказ.

После категорирования полученные сведения должны быть направлены во ФСТЭК. И ФСТЭК либо соглашается с результатами категорирования, которые произвела организация, и включает эти объекты в перечень объектов КИИ, либо мотивированно отказывает и направляет на доработку.

Сроки

В Постановлении Правительства № 127 определены сроки, в рамках которых должен быть направлен отказ о включении организаций в перечень объектов КИИ, а также сроки повторного направления сведений.

Здесь наступает административная ответственность о нарушении сроков и невыполнении предписаний регулятора (штраф до 20 тыс. рублей).

Раз в месяц регулятор может такой штраф предъявить до прохождения категорирования.

Первый формальный срок, который определен законодательством, – 1 год с момента определения субъектом перечня, его утверждения и направления во ФСТЭК до момента категорирования. 3 года до начала плановых проверок.

24 апреля 2021 года было принято решение коллегии ФСТЭК о том, что до 1 августа 2021 года необходимо направить перечень объектов и до 1 января 2021 года провести категорирование.

Все ли успели к 1 августа?

Решение коллегии доводилось до организации не напрямую, а через регуляторов «на местах». Иногда информация о сроках попадала в министерство и, оно по нисходящей спускало это в регионы. В регионах эти сроки корректировались. В основном все придерживаются сроков. Но не все органы власти доводят информацию своевременно.

Кто попадает в сферу действия закона?

Вся критическая инфраструктура – это совокупность объектов и сетей электросвязи, которые обеспечивают их взаимодействие.

Субъекты КИИ – государственные органы, учреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности/аренды либо другом законном основании принадлежат объекты, функционирующие в определенной законом сфере.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.

Законом ФЗ-187 определены 13 сфер, в которых могут осуществлять свои функции объекты. Здесь появилось много разночтений.

Но на последнем совещании представитель ФСТЭК объяснил, что не совсем корректно идти от сферы действия субъекта, которая указана в его уставе.

Необходимо выявлять информационные системы, сети и автоматизированные системы управления, которые могут функционировать в указанных законом сферах. Только тогда принимать решение о том, попадает организация в сферу действия закона или нет.

Какие документы необходимо направить во ФСТЭК?

  • Перечень объектов в свободной форме. В настоящее время идут обсуждения, в какой именно.
  • Форма направления сведений во ФСТЭК определена указом ФСТЭК № 236. Отправляются как сведения о всех категорированных объектах, так и некатегорийных объектах. Результатом категорирования является акт категорирования объекта, утверждаемый субъектом. Этот акт хранится у субъекта до истечения срока категорирования либо вывода объекта из эксплуатации. Сроки категорирования, согласно законодательству, положено один раз в 5 лет пересматривать.
  • Модель угроз и нарушителей. База для дальнейшего построения защиты.
  • Создание системы защиты объектов. ФСТЭК утвердил два приказа: приказ № 235 (описывает создание системы защиты, требования к персоналу, регулярности мероприятий по безопасности) и № 239 (базовый набор мер по защите объектов КИИ).

Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?

Идем в ногу с США. Там также определяются критически важные отрасли. Назначаются регуляторы. Сталкиваются с такими же проблемами категорирования объектов. Разрабатываются требования по категорированию. Но все же наши подходы отличаются.

В Германии существует практика защиты объектов ядерной энергетики. Головным регулятором выступает МАгАтЭ (Международное агентство по атомной энергии). Каждая страна Евросоюза дополнительно внутри страны разрабатывает свое законодательство. Поэтому за ними трудно уследить, если ты не ведешь деятельность в этой стране.

Источник: https://zen.yandex.com/media/id/592fbd808e557dedf243711e/bezopasnost-kriticheskoi-informacionnoi-infrastruktury-5bfa3bdd414f1b00a938bda8?from=channel&rid=3719890505.856782.1549763523954.34225&integration=site_desktop&place=layout

Защита критической информационной инфраструктуры (КИИ)

Субъект критической информационной инфраструктуры это

Федеральный закон №-187 о безопасности критическойинформационной инфраструктуры (КИИ) предписывает структурам, в управлениикоторых находятся значимые объекты критической информационной инфраструктурыРоссийской Федерации, соблюдать определенные законом и нормативными актамитребования по обеспечению безопасности таких объектов.

Услуги Холдинга МАСКОМ Восток гарантируют заказчикамсоответствие федеральному законодательству РФ №187-ФЗ о безопасности критической информационной инфраструктуры (КИИ) иподзаконных актов.

Внедрение этих решений по защите КИИ совместно с проведением ряда организационно-технических мероприятий позволяет компаниям избежать ответственности за нарушение законодательства и гарантировать безопасность объектов КИИ в своём ведении.

В соответствии с 187-ФЗ от 26.07.

2021 организациям ипредприятиям необходимо определить и защищать критичные системы,функционирующие в следующих сферах: здравоохранение, наука, транспорт, связь,энергетика, банковская сфера и иные сферы финансового рынка,топливно-энергетический комплекс, атомной энергии, оборонная промышленность,ракетно-космическая, металлургическая, горнодобывающая и химическаяпромышленность.

Главной целью обеспечения безопасности КИИ являетсяустойчивое функционирование КИИ при проведении в отношении нее компьютерныхатак. Одним из главных принципов обеспечения безопасности являетсяпредотвращение компьютерных атак.

Что такое критическая информационная инфраструктура?

Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (КИИ) сформулированы в статье 2 Федерального закона от 26.07.

2021 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

В соответствии с ней, под КИИ понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Таким образом, критическая информационная инфраструктура РФ представляет собой совокупность всех принадлежащих российским организациям и органам государственной власти объектов КИИ и обеспечивающих их взаимодействие сетей электросвязи.

Объекты КИИ — это имеющиеся у субъектов КИИ:

  1. Информационные системы (ИС). Одним из наиболее распространенных видов информационных систем являются информационные системы персональных данных (ИСПДн).
  2. Информационно-телекоммуникационные сети (ИТКС).

    Самыми распространенными видами информационно-телекоммуникационных систем являются корпоративные информационные сети и сеть международного обмена «Интернет».

  3. Автоматизированные системы управления (АСУ).

    Одним из наиболее распространенных видов указанных систем являются автоматизированные системы управления технологическими процессами (АСУ ТП) промышленных предприятий.

Под субъектами КИИ понимаются:

  1. Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели: • функционирующие в одной из 14 сфер жизнедеятельности: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность;

    • которым принадлежат (на праве собственности, аренды, ином законном основании) объекты КИИ.

  2. Российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей: ИС, ИТКС, АСУ.

Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов.

С точки зрения практического применения следует иметь в виду, что при определении является ли организация (государственный орган, учреждение) субъектом КИИ, необходимо оценивать сферу функционирования не принадлежащей ей ИС, АСУ или ИТКС, а сферу деятельности самой организации.

Какие действия должны предпринять субъекты КИИ для выполнения Закона?

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) вГосударственную систему обнаружения, предупреждения и ликвидации последствийкомпьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры пообеспечению безопасности объектов КИИ.

Субъекты КИИ обязаны самостоятельно категорироватьпринадлежащие им объекты в зависимости от масштаба возможных последствий объектуКИИ.

Этапы выполнения требований законодательства по защите объектов КИИ

Выполнение требований 187-ФЗ «О безопасностикритической информационной инфраструктуры Российской Федерации» от26.07.2021 для организаций и предприятий причастных к критической информационнойинфраструктуре РФ:

  • Определение объектов КИИ, принадлежность ксубъектам КИИ;
  • Информирование ФСТЭК России об объектах КИИ,подлежащих категорированию;
  • Категорирование объектов КИИ, оформлениенеобходимого набора документации;
  • Проектирование и внедрение систем защитыобъектов КИИ;
  • Обучение работников (повышение квалификации вобласти обработки и защиты информации);
  • Обеспечение непрерывной защиты систем КИИ инедопущение компьютерных атак на них;
  • Поддержка в вопросах информирования о произошедшихс объектом КИИ инцидентах информационной безопасности;
  • Поддержка в вопросах реагирования и ликвидациипоследствий компьютерных инцидентов.

Если в процессе категорирования было определено отсутствиекатегории значимости у объекта КИИ, результаты категорирования все равно должныбыть представлены во ФСТЭК России.

Если субъект КИИ не предоставит данные о категорировании,ФСТЭК России вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ определяетсяприказом ФСТЭК России от 06.12.2021 №227 «Об утверждении Порядка веденияреестра значимых объектов критической информационной инфраструктуры РоссийскойФедерации».

Категорирование объектов КИИ

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости).

Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатахдолжны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимыхобъектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объектаКИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимыйобъект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратныхсредствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасностизначимого объекта КИИ.

Порядок категорирования объектов КИИ:

Порядок категорирования установлен ПостановлениемПравительства РФ от 08.02.2021 N 127 «Об утверждении Правилкатегорирования объектов критической информационной инфраструктуры РоссийскойФедерации, а также перечня показателей критериев значимости объектовкритической информационной инфраструктуры Российской Федерации и ихзначений», который можно отобразитьследующим алгоритмом действий:

  • Создание комиссии по категорировании КИИ
  • Первичный сбор данных для определения объектов
  • Утверждение перечня объектов КИИ, подлежащих категорированию
  • Сбор исходных данных для категорирования
  • Категорирование объектов КИИ
  • Оформление акта категорирования объекта КИИ
  • Направление сведений о результатах категорирования в ФСТЭК

Какие объекты КИИ подлежат категорированию?

На этот вопрос есть ответ в ПостановленииПравительства РФ от 08.02.2021 № 127 «Об утверждении Правилкатегорирования объектов критической информационной инфраструктуры, а такжеперечня показателей критериев значимости объектов критической информационнойинфраструктуры Российской Федерации и их значений» (ПП №127).  В данномпостановлении четко определено:

«Категорированию подлежат объекты критическойинформационной инфраструктуры, которые обеспечивают управленческие,технологические, производственные, финансово-экономические и (или) иныепроцессы в рамках выполнения функций (полномочий) или осуществления видовдеятельности субъектов критической информационной инфраструктуры».

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд.

Существует много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД, действующие лицензии, право собственности на информационные системы и другие факторы, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

Если у вас возникли вопросы и вам нужна консультация, напишитенам или позвоните, и мы бесплатно проконсультируем по вопросам безопасностикритической информационной инфраструктуры. МАСКОМ Восток готоввыполнить работы по обеспечению безопасности КИИ.

Проектирование и внедрение систем защиты объектов КИИ

Услуги по проектированию и внедрению систем защиты объектов КИИосуществляются с учетом требований ФСТЭК России (приказы 235 и 239) ивозможностями Заказчика.

Комплекс услуг по проектированию системы защиты объекта КИИ включает:

  • Поддержка при создании субъектом КИИ систем безопасности значимых объектов КИИ;
  • Анализ угроз безопасности информации и разработку модели угроз безопасности информации;
  • Разработка частного технического задания (требований) на создание подсистемы безопасности объекта КИИ;
  • Проектирование подсистемы безопасности объекта КИИ;
  • Разработка рабочей (эксплуатационной) документации на объект (в части обеспечения его безопасности).

Комплекс услуг по внедрению систем защиты объектов КИИ включает:

  • Установка и настройка средств защиты информации;
  • Разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности объекта;
  • Внедрение организационных мер по обеспечению безопасности значимого объекта;
  • Предварительные испытания и опытную эксплуатацию объекта и его подсистемы безопасности;
  • Анализ уязвимостей объекта и выдача рекомендаций по их устранению;
  • Приемочные испытания объекта и его подсистемы безопасности;
  • Поддержка в вопросах обеспечения безопасности объекта КИИ в ходе его эксплуатации.

Чем грозит не выполнение требования Закона о безопасности КИИ

Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет.

Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под состав 293 статьи УК РФ «Халатность».

Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.

Нормативно-правовые акты

  • N 187-ФЗ от 26.07.2021 «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • ПП РФ от 8 февраля 2021 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”;
  • Приказ ФСТЭК России от 06.12.2021 N 227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 22.12.2021 N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Источник: https://www.mascom-vostok.ru/service/zashhita-kriticheskoj-informaczionnoj-infrastruktury-kii/

Требования для операторов по критической информационной инфраструктуре

Субъект критической информационной инфраструктуры это

Президент ассоциации “Ростелесеть”, объединяющей более 200 региональных операторов связи, Олег Грищенко представляет материал на тему работы с критической информационной инфраструктурой (КИИ) для операторов связи.

В этой статье подробно освещаются следующие аспекты: что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать, в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Также в статье присутствует перечень документов, в настоящее время регулирующих все эти вопросы.

Что такое КИИ?

Последнее десятилетие во всём мире разрабатывают подходы и утверждают законодательную базу, чтобы обезопасить крупные предприятия, важные сегменты экономики и инфраструктуру стран от массовых компьютерных вирусов, целенаправленных кибератак и преступлений в области информационной безопасности.

В 2013 году подписан Указ Президента РФ “О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”. А в 2021 году подписан ФЗ № 187-ФЗ “О безопасности критической информационной инфраструктуры РФ”, который вступил в силу с 1 января 2021 года.

Данный закон регулирует отношения государственных и частных предприятий в области обеспечения безопасности критической информационной инфраструктуры (КИИ), для устойчивого функционирования, при компьютерных атаках и иных преступлениях в области информационной безопасности.

Основной надзорный орган – Федеральная служба по техническому и экспортному контролю (ФСТЭК).

В начале 2021 года участники Ассоциации “Ростелесеть” в разных регионах впервые столкнулись с запросами из прокуратуры, где звучало требование отчитаться о проделанной работе по КИИ. На форуме MUSE мы готовили доклады и круглые столы по данной теме, но в связи с переносом даты проведения форума решили, что важно поделиться с читателями своим видением.

Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность.

Субъект и объект КИИ

Существует два базовых понятия — это субъект и объект КИИ.
Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ.

Объект КИИ — это то, что может быть подвержено атаке, как правило, это информационные системы и сети, а также системы управления.

Выделяют три типа объектов КИИ:

  1. Информационные системы (ИС). Совокупность информации в базах данных и средства, которые её обрабатывают.
  2. Информационно-телекоммуникационные сети (ИТКС). Системы, осуществляющие передачу информации по линиям связи.
  3. Автоматизированные системы управления (АСУ). Комплекс средств автоматизации и информационных технологий, для реализации производственных функций.

Как правило, у различных сегментов экономики преобладает конкретный тип объекта КИИ, в случае с операторами связи — информационно-телекоммуникационные сети (ИТКС).

  
Оператор связи это субъект КИИ?  

Законодатель пошёл простым путём, он ввёл критерии, по которым можно быстро определить является организация субъектом КИИ или нет. После чего субъект КИИ проводит организационные действия и определяет наличие у себя объектов КИИ.

То есть субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу.

Критерии субъекта КИИ:

  • ОКВЭД относится к одному из указанных выше секторов экономики;
  • Организация обладает лицензией, в нашем случае — на услуги связи;
  • Организация обеспечивает взаимодействие систем и/или сетей, принадлежащих субъектам КИИ;
  • Вы — собственник или арендуете потенциальный объект КИИ.

Наличие любого из этих критериев автоматически включает вас в список субъектов КИИ и накладывает обязательство проанализировать наличие объектов КИИ и в любом случае сообщить в ФСТЭК, не зависимо от значимости данного объекта КИИ.

Необходимо провести инвентаризацию следующих систем:

  • Информационных (базы данных, файлы данных);
  • Программных (системное и прикладное ПО);
  • Технических (компьютеры, сервера, коммутационное оборудование, носители данных).

В случае с операторами связи необходимо выделить критические процессы, прекращение и некорректная работа которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, в том числе у других субъектов КИИ, которые обеспечивают оборону, безопасность и правопорядок государства и критической информационной инфраструктуры. Необходимо провести анализ угроз безопасности информации, мониторинг критических процессов и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, а также рассмотреть возможные действия нарушителей: создать модель угроз нарушителя безопасности информации.

С чего начать?

Всё начинается с создания комиссии, которая будет делать анализ информации и процессов компании, создавать приказы, положения и принимать решение о наличии и отсутствии объектов КИИ.

По результатам обсуждения правового комитета ассоциации “Ростелесеть” мы рекомендуем для рассмотрения следующий список потенциальных участников комиссии:

  • Руководитель компании или уполномоченное лицо (генеральный директор, его заместитель);
  • Руководители, понимающие все технологические процессы в компании и их взаимосвязь (технический директор, главный инженер);
  • Специалист, отвечающий за информационную безопасность (главный администратор сети);
  • Сотрудник, отвечающий за Гражданскую оборону и Чрезвычайные ситуации (если есть);
  • Специалист по защите государственной тайны (если есть);
  • Специалист финансово экономического подразделения: для расчета показателей экономической значимости (экономист);
  • Специалист юридических подразделений: для проверки корректности соблюдения процедуры и оформления документов (юрист).

Рекомендованный состав больше относиться к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов. Для небольших компаний этот перечень лучше сократить.

Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии.

После чего утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своём предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые. Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год для проведения категорирования и установления степени значимости.

Общаясь с сотрудниками ФСТЭК, мы осознаем, что в службе только формируются подходы, регламентирующих документов много, и они содержат обобщенный характер требований, в ближайшие годы предстоит большая работа по трактовке и совместному их пониманию с регулятором.

С целью выработки единых подходов ассоциация “Ростелесеть” формирует для своих участников рекомендованные документы и по мере корректировки видения этот пакет документов будет меняться и расширяться.

  
Сроки исполнения  

Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования, процесс активно проходит с 2021 года.

В середине 2021 года постановлением правительства № 452 для государственных органов и учреждений утверждена дата 1 сентября 2021 года для формирования перечня объектов и максимум в течении года, то есть до 1 сентября 2021 года эти организации обязаны провести категорирование объектов КИИ.

Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам Ассоциации, а привлечение прокуратуры в качестве дополнительного контроля подсказывает, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам.

Помимо регуляторной нагрузки операторы, которые реально запустили процедуры изучения процессов и безопасности своих информационных систем и телекоммуникационных сетей, говорят, что данный процесс не быстро закрыть.

Необходимо разобраться, какие системы присутствуют на предприятии, создать систему оценки уровня безопасности. Такая систематизация даёт возможность увидеть слабые звенья, упорядочить вопрос доступов, рассмотреть слабые места и механизмы их устранения.

Необходимо находить и положительные моменты от такой систематизации и работы.

Поэтому рекомендуем не откладывать процесс, мы уверены, что в ближайшее время усилится контроль и появятся жёсткие наказания за попустительство в вопросе КИИ.

Правовая база

  • Указ Президента РФ от 22 декабря 2021 г. № 620 “О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”
  • Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”
  • Федеральный закон от 26 июля 2021 г. N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
  • Постановлением Правительства РФ от 8 февраля 2021 г. № 127 “Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений”
  • Постановление Правительства РФ от 17 февраля 2021г. № 162 “Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ”
  • Постановление Правительства Российской Федерации от 13.04.2021 г. № 452 “О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2021 г. № 127”
  • Приказ ФСТЭК России от 6 декабря 2021 г. №227 “Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры РФ”
  • Приказ ФСТЭК России от 21 декабря 2021г. №235 “Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования”
  • Приказ ФСТЭК России от 22 декабря 2021 г. N 236 “Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий”
  • Приказ ФСТЭК России от 25 декабря 2021г. №239 “Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ”
  • Методические документы ФСБ по ГосСОПКА.

Источник: https://www.cableman.ru/article/trebovaniya-dlya-operatorov-po-kriticheskoi-informatsionnoi-infrastrukture

Безопасность КИИ: как определить, что делать и что если не делать

Субъект критической информационной инфраструктуры это

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации.

Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • юридически лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!

Второй критерий – лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам и которые будут в фокусе внимания согласно ФЗ №-187 .

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно».

Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта.

Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

У каждого субъекта КИИ есть объекты КИИ:

  • информационные системы;
  • автоматизированные системы управления технологическими процессами;
  • информационно-телекоммуникационные сети.

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

СУБЪЕКТЫ КИИ ОБЪЕКТЫ КИИ
  • Банковская сфера и иные сферы финансового рынка
  • Топливно-энергетический комплекс;
  • Атомная промышленность;
  • Военно-промышленный комплекс;
  • Ракетно-космическая промышленность;
  • Горнодобывающая промышленность;
  • Металлургическая промышленность;
  • Химическая промышленность;
  • Наука, транспорт, связь;
  • ЮЛ и ИП которые взаимодействуют с системами критической информационной инфраструктуры.     
  • Информационные системы;
  • Информационно-телекоммуникационные сети;
  • Автоматизированные системы управления технологическими процессами (АСУ ТП).

    

Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд.

Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

Что делать если вы субъект кии?

С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам.

Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям.

Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости.

Согласно Постановлению Правительства РФ от 08.02.

2021 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

  • социальная;
  • политическая;
  • экономическая;
  • экологическая;
  • значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год.

Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости.

С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта).

В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

Пройдите экспресс-тест и определите категорию значимости ваших объектов КИИ. По результату теста вы получите значение категории объекта КИИ или её отсутствие и полезный бонус.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

  • разработка технического задания;
  • разработка модели угроз информационной безопасности;
  • разработка технического проекта;
  • разработка рабочей документации;
  • ввод в действие.

Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: «СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.

Что будет если этого не делать?

Источник: https://www.ec-rs.ru/blog/all/bezopasnost-kii-korotko-o-glavnom/

Все о правах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: