В области ИБ активно используется понятие критической информационной инфраструктуры: КИИ — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (они же объекты КИИ).
Определение объема мероприятий по защите информации, их реализация и создание системы защиты информации, адаптированной к специфике деятельности компании, – трудоемкий и длительный процесс, требующий специальных знаний и навыков.
Основные нормативные акты по ФЗ-187-КИИ
Основным документом, определяющим, что такое критическая информационная инфраструктура в Российской Федерации, является ФЗ-187, вступивший в силу с 1 января 2018 года.
Перечень отраслей, связанных с критической инфраструктурой:
- Здравоохранение
- Наука
- Транспорт
- Связь
- Энергетика
- Государственная регистрация прав на недвижимое имущество и сделок с ним
- Банковская сфера и иные сферы финансового рынка
- Топливно-энергетический комплекс
- Атомная энергия
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
То есть информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в этих отраслях и будут являться критической информационной инфраструктурой.
Основная часть условий безопасности по ФЗ-187 касается только тех объектов, которые в результате классификации определены как важные.
Субъекты КИИ и их ответственность
Основными идентифицированными субъектами являются:
– Органы государственной власти
– Органы местного самоуправления
– Государственные и муниципальные органы
– Юридические лица, зарегистрированные в России.
Общим условием для всех них является право собственности на информационно-коммуникационные системы, элементы автоматического управления и ИС, принадлежащие филиалам КИС. Основанием для распоряжения сетью может быть что угодно, включая полностью оформленное право собственности, договоры аренды и т.д. Под действие закона подпадают также компании и предприниматели, деятельность которых обеспечивает взаимодействие ИТКС, АСУ и информационных систем.
Для того чтобы полностью соответствовать современным требованиям законодательства, касающегося критической информационной инфраструктуры Российской Федерации, государственным органам и частным компаниям необходимо:
1. подключиться к ГОССОПКА и позаботиться о прохождении установленных проверок и обеспечении достаточно высокого уровня ИБ.
2. своевременно передавать инциденты, независимо от их причин, и проводить тщательное расследование
3. классифицировать объекты для обеспечения безопасности объектов КИС. Данная процедура предполагает детальный анализ всех аспектов деятельности с учетом установленных законом критериев, таких как тяжесть влияния хакерской атаки на экологическую обстановку, размер ущерба гражданам РФ и государству в целом в случае хищения данных, влияние на обороноспособность РФ и работу правоохранительных систем.
4. информировать ФСТЭК о классификации и обеспечить внесение информации в Единый реестр объектов критической инфраструктуры
5. соответствовать существующим условиям эксплуатации КИИ и своевременно корректировать меры безопасности при изменении нормативно-правовых актов.
Как будет обеспечиваться информационная безопасность КИИ?
Проконсультируйтесь со специалистом по информационной безопасности, чтобы определить, попадает ли ваша компания под действие КИИ, если компания затрудняется это определить самостоятельно. Следующий шаг – обеспечение бесперебойного функционирования критической информационной инфраструктуры и ее адекватной защиты от внешних и внутренних угроз безопасности. Ряд задач можно разделить на:
1. присвоение категорий объектов по степени важности. Процедура предполагает создание комиссии, составление и согласование точного списка объектов, подлежащих исследованию, и направление его во ФСТЭК для сбора первичных данных и исследования угроз ИБ. На основе полученной информации проводится непосредственная классификация, после чего данные направляются в надзорный орган. Кроме того, требуется проведение независимой экспертизы проводимых мероприятий.
2. создание проекта и интеграция системы ИБ. Это предполагает проведение ряда технических и организационных мероприятий, направленных на поддержание оптимального уровня защиты информации; помимо разработки и внедрения СУИБ, КИС необходимо подготовить ОРД. Для этих целей целесообразнее нанять специалистов, чтобы не терять время и выполнить ряд нормативных и законодательных требований.
Правильный подход к обеспечению безопасности объектов КИС обеспечит высокий уровень защиты информации. В то же время приобретение и установка сертифицированной системы защиты сопряжены со значительными финансовыми и трудовыми затратами, которые не всегда являются необходимыми. Наши сотрудники готовы помочь Вам в определении наиболее эффективного технического решения.