Все социально значимые организации и предприятия в соответствии с Федеральным законом N 187-ФЗ от 26.07.2017, обязаны обеспечить защиту критической информационной инфраструктуры. Главная цель безопасности объектов КИИ – защита от компьютерных атак. В мире современных технологий появляются все новые и новые вирусы-шифровальщики, которые каждый год останавливают работу многих компании в мире, благодаря этому становится понятно, что стабильность и бесперебойность рабочих процессов организаций напрямую зависит от функционирования и защищенности их информационных систем.
Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия.
Кому это нужно?
-
- Субъектам КИИ, которым на законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленностей.
-
- Юридическим лицам, ИП, обеспечивающим взаимодействие указанных систем или сетей.
Субъекты и объекты КИИ представлены на рисунке 1.
Система безопасности обеспечивает:
-
- предотвращение неправомерного доступа к информации, уничтожение
-
- недопущение воздействия на технические средства обработки информации;
-
- восстановление функционирования значимых объектов КИИ;
-
- непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак;
-
- уничтожение такой информации, ее модифицирование, блокирование, копирование, предоставление и распространение, а также иных неправомерных действий в отношении такой информации;
-
- недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов КИИ;
-
- восстановление функционирования значимых объектов КИИ, в том числе за счет создания и хранения резервных копий необходимой для этого информации;
-
- непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которое осуществляется в соответствии со статьей 5 Федерального закона «О безопасности КИИ Российской Федерации».
Дорожная карта по обеспечению безопасности КИИ
Весь процесс обеспечения безопасности критической информационной инфраструктуры субъекта КИИ можно представить в виде следующей дорожной карты (рисунок 2).
На начальном этапе субъект КИИ определяет, какие у него есть объекты КИИ. Этот этап называется категорирование.
Существую два вида объектов КИИ — значимые и незначимые. Значимые объекты делятся на три категории: максимальная – первая, минимальная – третья. Меры по обеспечению безопасности зависят от категории значимости объекта.
Для объектов, которые не относятся к значимым, требуется построение дополнительной системы безопасности. Состав и содержание мер защиты информации для указанных объектов регламентированы в нормативно-правовых актах, регулирующих вопросы безопасности конкретного вида систем: информационная система персональных данных, автоматизированная система управления, автоматизированная банковская система и т.п.
Кроме требований по обеспечению безопасности значимых объектов КИИ, действующим законодательством предусматриваются права и обязанности субъектов КИИ (как владельцев значимых, так и незначимых объектов КИИ), которые закреплены в ст. 9 закона «О безопасности КИИ».
Требования и обязанности субъектов КИИ
Этапы защиты КИИ
1. Категорирование объектов КИИ
Проводится аудит критически важных процессов деятельности предприятия, составляется список объектов КИИ, определяется категория их значимости в соответствии с Постановлением правительства России от 08.02.2018 г. № 127.
2. Формирование требований к защите КИИ
Описывается архитектуру значимого объекта критической информационной структуры, перечисляются возможные угрозы, а также модели потенциальных нарушений. Результатом является детальное техническое задание на построение комплексной системы безопасности КИИ.
3. Проектирование систем безопасности.
На основе перечня требований подготавливается технический проект. Разрабатывается архитектура систем обеспечения безопасности для каждого объекта КИИ (ИС, АСУ ТП, ИТКС). Описывается порядок и параметры настройки необходимых программных и программно-аппаратных средств. Подготавливается рабочую документацию.
4. Подготовка организационно-распорядительной документации
Составляется план организационных мер по защите критической информационной инфраструктуры. Подготавливается документация, в которой прописываются обязанности сотрудников, ответственных за обслуживание и обеспечение безопасности объектов КИИ.
5. Внедрение технических средств защиты КИИ
Устанавливаются и настраиваются программные и программно-аппаратные средства обеспечения безопасности значимых объектов КИИ.
6. Внедрение организационных мер защиты КИИ
В соответствии с заранее подготовленными организационно-структурными документами формируются правила, политики и стандарты безопасной работы сотрудников предприятия с объектами критической информационной инфраструктуры.
Компания ООО «НВК «Космософт» реализует комплекс услуг по приведению предприятий, имеющих объекты КИИ, к соответствию требованиям ФЗ-187. Мы поможем Вам при реализации требований данного закона. Подробнее об услугах здесь.
