
РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ №187-ФЗ
"Поликом Про" предлагает консультации и услуги по выполнению требований №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
- Инвентаризацию и категорирование значимых объектов КИИ
- Рекомендации по выбору средств ОПЛ КА, проведение тестирования средств защиты
- Внедрение средств ОПЛ КА
- Обслуживание систем информационной безопасности
ОСНОВНЫЕ ПОНЯТИЯ (№187- ФЗ)
- Объекты КИИ – информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ
- Значимый объект КИИ – объект КИИ, прошедший категорирование, по результатам которой ему была присвоена первая, вторая или третья категория
- Критическая информационная инфраструктура Российской Федерации (КИИ) – совокупность объектов КИИ
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) – единый территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – силы ОПЛ КА и средства ОПЛ КА)
- Средства ОПЛ КА – программно-технические средства для обнаружения, предупреждения, ликвидации последствий компьютерных атак
РЕГУЛЯТОРЫ И УЧАСТНИКИ
- ФОИВ ГосСОПКА – уполномоченные подразделения ФСБ России (включая Национальный координационный центр по компьютерным инцидентам – НКЦКИ), статус закреплён Указом Президента Российской Федерации № 620 от 22.12.2017 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
- ФОИВ КИИ – ФСТЭК России, статус закреплён Указом Президента Российской Федерации № 569 от 25.11.2017 г. "О внесении изменений в Положение о ФСТЭК России"
- Субъекты КИИ – обладатели на праве собственности, аренды или на ином законном основании объектов КИИ
ЧТО ТАКОЕ ГосСОПКА?
- Совокупность технической составляющей, обслуживающего персонала и регламентов, предназначенная для обеспечения и контроля состояния информационной безопасности в Российской Федерации и диппредставительствах страны за рубежом
- Техническая составляющая (средства ОПЛ КА) будет состоять из центров ГосСОПКА, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств, установленных в конкретных объектах КИИ
- Государство – регулятор и координатор (не собственник)
- Единого собственника не будет: каждый из элементов системы ГосСОПКА будет принадлежать тому, кто за него заплатил
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ КИИ
Права:
- получать от ФСБ и ФСТЭК России информацию по линии ответственности
- за свой счет приобретать, арендовать, устанавливать и обслуживать средства ОПЛ КА
- обеспечивать безопасность значимых объектов КИИ в зоне своей ответственности
Все организации, работающие в областях, перечисленных в определении субъекта КИИ, потенциально являются такими субъектами и должны провести инвентаризацию своей информационной инфраструктуры и последующее категорирование объектов КИИ
Обязанности:
- категорировать объекты КИИ
- выполнять требования по обеспечению безопасности объектов КИИ (ФСТЭК России)
- устанавливать и эксплуатировать средства ОПЛ КА (центры ГосСОПКА и конкретные технические средства – ФСБ России)
- реагировать на компьютерные инциденты, информировать о них и принимать меры по ликвидации последствий (ФСБ России)
- содействовать должностным лицам ФСБ и ФСТЭК России при исполнении ими своих служебных обязанностей
ОТВЕТСТВЕННОСТЬ
Закон (№187- ФЗ): нарушение положений Закона и принятых в соответствии с ним иных нормативных правовых актов повлечет за собой ответственность в соответствии с действующим законодательством. При наступлении последствий, влекущих административную и/или уголовную ответственность, несоблюдение положений Закона будет отягчающим обстоятельством (наиболее ожидаемо – по составу "Халатность")
Уголовная (персональная) ответственность №193-ФЗ:
- в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 10 лет (при совершении преступления группой лиц и наступлении тяжких последствий)
- Последственность статьи 274.1 – ФСБ России (статья 151 УПК РФ)
Ответственность организаций (КОАП):
- Статья 13.12: нарушение правил защиты информации
- Дополнения в КОАП (готовит ФСТЭК России)
ПОРЯДОК ПРИМЕНЕНИЯ ЗАКОНА СУБЪЕКТА КИИ
Проводится инвентаризация информационной инфраструктуры, выявление потенциальных значимых объектов КИИ и их категорирование, срок – не более года с момента завершения инвентаризации. Результаты инвентаризации направляются во ФСТЭК России.
В случае присвоения объекту КИИ какой-либо категории:
- данный факт фиксируется ФСТЭК России и сообщается субъектом КИИ в ФСБ России
- субъект КИИ проводит работы по ОИБ категорированных КИИ в зоне своей ответственности, создаёт центр ГосСОПКА (или подключается к созданному) и информирует регуляторов о готовности к аттестации системы ОИБ и центра ГосСОПКА
- регуляторы осуществляют оценку результатов деятельности субъекта КИИ в соответствии со своими полномочиями, при отсутствии замечаний осуществляется формальное подключение объектов КИИ к ГосСОПКА и начинается эксплуатация соответствующего центра/сегмента ГосСОПКА, в противном случае субъект исправляет замечания и повторно обращается к регуляторам
В случае не присвоения категории материалы также направляются во ФСТЭК России на согласование
КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ
- Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ
- Объекту КИИ по результатам категорирования присваивается категория значимости с наивысшим значением
- Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья
Заказать консультацию