Защита критической информационной инфраструктуры (КИИ) 
Практическая реализация требований ФСБ и ФСТЭК 
в соответствии с 187-ФЗ

Защищаем на всей территории РФ
Если кратко, то смысл Федерального закона 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» в следующем: информационные системы жизненно важных для России организаций должны быть надежно защищены от компьютерных атак. 

Нарушение требований 187-ФЗ может привести к серьезным штрафам и даже к уголовной ответственности.

Почему все так серьезно? Потому что компьютерные атаки на жизненно важные организации страны могут привести к серьезным последствиям: отключению электроэнергии, нарушению грузоперевозок, потере финансовых данных и даже к техногенным катастрофам с человеческими жертвами. На кону национальная безопасность нашей страны.


Вкратце о деталях и терминологии 187-ФЗ

Есть ряд критически важных для функционирования государства сфер деятельности: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и финансовый рынок, топливно-энергетический комплекс, область атомной энергии, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Субъекты критической информационной инфраструктуры
Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банки
ТЭК
Атомная энергия
Оборонная и ракетно-космическая промышленность
Горнодобывающая промышленность
Металлургическая промышленность
Химическая промышленность
В этих сферах работают различные государственные и коммерческие организации, а также индивидуальные предприниматели. В терминах 187-ФЗ – это субъекты критической информационной инфраструктуры.
Государственные органы и учреждения
Юридические лица
Индивидуальыне предприниматели
В этих организациях обычно есть объекты критической информационной инфраструктуры: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.

Безопасность КИИ – это состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

Компьютерные атаки на объекты КИИ нужно обнаруживать и предупреждать. Если атака произошла, то необходима ликвидация последствий. Закон прямо указывает на приоритет предотвращения компьютерных атак.



Критические инфраструктуры взламываются каждый год. Успешно прошедшие атаки повреждали центрифуги для обогащения урана, блокировали портовую инфраструктуру, отключали электроэнергию и отправляли в блэкаут целые страны, останавливали работу заводов и промышленных предприятий, вызывали ложные тревоги систем предупреждения о торнадо и цунами, искажали работу электронных дорожных знаков, атаковали атомные электростанции!


Угроза КИИ абсолютно реальна. 
Обеспечение безопасности КИИ жизненно необходимо.
Как мы работаем:
1 этап. Обследование процессов деятельности субъекта КИИ
  1. Цель работ:
    Определение перечня всех процессов, выполняемых в рамках деятельности субъекта КИИ.

  2. Состав работ:
    • Выявление критических процессов, то есть процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
    • Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.
    • Формирование перечня объектов КИИ, подлежащих категорированию. Перечень объектов для категорирования после утверждения направляется во ФСТЭК России.
    • Оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанными в Правилах. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны.
    • Присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.
  3. Результат работ:
    Отчет об определении перечня всех процессов, выполняемых в рамках деятельности субъекта КИИ.
2 этап. Подготовка (актуализация) организационно-распорядительной документации
  1. Цель работ:
    Подготовка (актуализация) организационно-распорядительной документации.

  2. Состав работ:
    • Создание комиссии по категорированию.
    • Формирование перечня объектов КИИ, подлежащих категорированию.
    • Направление перечня объектов КИИ во ФСТЭК.
    • Проведение категорирования объектов КИИ.
    • Направление результатов категорирования во ФСТЭК.
    • Устранение замечаний ФСТЭК, если они есть.
    • Формирование рекомендаций каждые 5 лет пересматривать установленные категории значимости.
    • Обеспечение безопасности значимых объектов КИИ.
    • Разработка или коррекция комплекта организационно-распорядительной документации.
    • Формирования правил взаимодействия с главным центром ГосСОПКА.
  3. Результат работ:
    Пакет проектов организационно-распорядительной документации.
Часто возникающие вопросы:



У меня нет значимых объектов КИИ, меня это не касается?
Отсутствие категории значимости нужно доказать. Если системы используются в сферах деятельности 187-ФЗ, то они подлежат категорированию. Для обоснования отсутствия значимости все равно необходимо провести категорирование.
Какие сроки отводятся на составление перечня объектов КИИ и согласование во ФСТЭК России?
Категорирование должно быть проведено в течение года с момента утверждения субъектом КИИ перечня объектов КИИ. По оценке представителей ФСТЭК, разумный срок для разработки субъектом перечня объектов может варьироваться от одного месяца для небольших до шести месяцев для крупных, территориально распределенных инфраструктур.
Закон вступил в силу. Ко мне могут прийти регуляторы?
Плановые проверки начнутся через 3 года. Внеплановые проверки могут проводиться в случае возникновения компьютерного инцидента, повлекшего негативные последствия, на значимом объекте КИИ, а также, по инициативе прокуратуры.
Если сидеть тихо – можно не выполнять требования?
Для оценки безопасности КИИ регулятор имеет право установить средства, предназначенные для поиска признаков компьютерных атак в сетях электросвязи. Утечки об атаках в СМИ никто не отменял.
У нас есть черная коробочка от ФСБ, мы уже всё сделали?
Черная коробочка – это сенсор, который Вам поставили в рамках системы СОПКА для анализа трафика. С принятием 187-ФЗ такие сенсоры устанавливают в целях контроля защищенности. Чтобы подключиться к ГосСОПКА, надо создать центр ГосСОПКА и заключить соглашение с ФСБ.
Подведомственным и дочерним ждать команду сверху?
Ждать команду сверху не надо. Выполнять требования ФЗ-187 необходимо уже сейчас, так как предусмотрена ответственность руководителя юридического лица независимо от подчиненности той или иной организации.
Если в результате категорирования мы не признали ни одну из своих систем значимой и ФСТЭК принял акты категорирования, можем ли мы, в случае инцидента, в том числе с угрозой тяжких последствий, рассчитывать на снисхождение?
Нет, принятие акта не равноправно его утверждению, ответственность за категорирование лежит на субъекте КИИ.

Нужна консультация по категорированию и защите объектов КИИ?

Мы свяжемся с вами в ближайшее время, чтобы как можно скорее ответить на интересующие вопросы.
Ознакомиться с Согласием
Спасибо! Мы свяжемся с вами в ближайшее время