Защита критической информационной инфраструктуры согласно ФЗ №187

 РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ №187-ФЗ

"Поликом Про" предлагает консультации и услуги по выполнению требований №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

• Инвентаризацию и категорирование значимых объектов КИИ 
  
• Рекомендации по выбору средств ОПЛ КА, проведение тестирования средств защиты 
• Внедрение средств ОПЛ КА
• Обслуживание систем информационной безопасности

ОСНОВНЫЕ ПОНЯТИЯ (№187- ФЗ)

• Объекты КИИ – информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ 
• Значимый объект КИИ – объект КИИ, прошедший категорирование, по результатам которой ему была присвоена первая, вторая или третья категория 
• Критическая информационная инфраструктура Российской Федерации (КИИ) – совокупность объектов КИИ 
• Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) – единый территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – силы ОПЛ КА и средства ОПЛ КА) 
• Средства ОПЛ КА – программно-технические средства для обнаружения, предупреждения, ликвидации последствий компьютерных атак

РЕГУЛЯТОРЫ И УЧАСТНИКИ

• ФОИВ ГосСОПКА – уполномоченные подразделения ФСБ России (включая Национальный координационный центр по компьютерным инцидентам – НКЦКИ), статус закреплён Указом Президента Российской Федерации № 620 от 22.12.2017 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" 
• ФОИВ КИИ – ФСТЭК России, статус закреплён Указом Президента Российской Федерации № 569 от 25.11.2017 г. "О внесении изменений в Положение о ФСТЭК России" 
• Субъекты КИИ – обладатели на праве собственности, аренды или на ином законном основании объектов КИИ

ЧТО ТАКОЕ ГосСОПКА?

• Совокупность технической составляющей, обслуживающего персонала и регламентов, предназначенная для обеспечения и контроля состояния информационной безопасности в Российской Федерации и диппредставительствах страны за рубежом 
• Техническая составляющая (средства ОПЛ КА) будет состоять из центров ГосСОПКА, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств, установленных в конкретных объектах КИИ 
• Государство – регулятор и координатор (не собственник) 
• Единого собственника не будет: каждый из элементов системы ГосСОПКА будет принадлежать тому, кто за него заплатил 
  

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ КИИ

Права:

• получать от ФСБ и ФСТЭК России информацию по линии ответственности 
• за свой счет приобретать, арендовать, устанавливать и обслуживать средства ОПЛ КА 
• обеспечивать безопасность значимых объектов КИИ в зоне своей ответственности

Все организации, работающие в областях, перечисленных в определении субъекта КИИ, потенциально являются такими субъектами и должны провести инвентаризацию своей информационной инфраструктуры и последующее категорирование объектов КИИ

Обязанности:

• категорировать объекты КИИ 
• выполнять требования по обеспечению безопасности объектов КИИ (ФСТЭК России) 
• устанавливать и эксплуатировать средства ОПЛ КА (центры ГосСОПКА и конкретные технические средства – ФСБ России) 
• реагировать на компьютерные инциденты, информировать о них и принимать меры по ликвидации последствий (ФСБ России) 
• содействовать должностным лицам ФСБ и ФСТЭК России при исполнении ими своих служебных обязанностей

ОТВЕТСТВЕННОСТЬ

Закон (№187- ФЗ): нарушение положений Закона и принятых в соответствии с ним иных нормативных правовых актов повлечет за собой ответственность в соответствии с действующим законодательством. При наступлении последствий, влекущих административную и/или уголовную ответственность, несоблюдение положений Закона будет отягчающим обстоятельством (наиболее ожидаемо – по составу "Халатность")

Уголовная (персональная) ответственность №193-ФЗ:

• в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 10 лет (при совершении преступления группой лиц и наступлении тяжких последствий) 
• Последственность статьи 274.1 – ФСБ России (статья 151 УПК РФ)

Ответственность организаций (КОАП):

• Статья 13.12: нарушение правил защиты информации 
• Дополнения в КОАП (готовит ФСТЭК России)

ПОРЯДОК ПРИМЕНЕНИЯ ЗАКОНА СУБЪЕКТА КИИ

Проводится инвентаризация информационной инфраструктуры, выявление потенциальных значимых объектов КИИ и их категорирование, срок – не более года с момента завершения инвентаризации. Результаты инвентаризации направляются во ФСТЭК России.

В случае присвоения объекту КИИ какой-либо категории:

• данный факт фиксируется ФСТЭК России и сообщается субъектом КИИ в ФСБ России 
• субъект КИИ проводит работы по ОИБ категорированных КИИ в зоне своей ответственности, создаёт центр ГосСОПКА (или подключается к созданному) и информирует регуляторов о готовности к аттестации системы ОИБ и центра ГосСОПКА 
• регуляторы осуществляют оценку результатов деятельности субъекта КИИ в соответствии со своими полномочиями, при отсутствии замечаний осуществляется формальное подключение объектов КИИ к ГосСОПКА и начинается эксплуатация соответствующего центра/сегмента ГосСОПКА, в противном случае субъект исправляет замечания и повторно обращается к регуляторам

В случае не присвоения категории материалы также направляются во ФСТЭК России на согласование

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ

• Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ 
• Объекту КИИ по результатам категорирования присваивается категория значимости с наивысшим значением 
• Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья 

---

Заказать консультацию