187-ФЗ: Критическая информационная инфраструктура

Критическая информационная инфраструктура (187-ФЗ)

Критическая информационная инфраструктура (КИИ) представляет собой значимые или незначимые объекты, функционирующие в критически важных сферах.
Объект КИИ является значимым в том случае, когда ему присвоена одна из категорий значимости и он включен в реестр значимых объектов критической информационной инфраструктуры.

Согласно Федеральному закону № 187 объектами КИИ являются:

  • информационная система (ИС) – система, предназначенная для хранения, поиска и обработки информации.
  • автоматизированная система управления технологическим процессом (АСУ ТП) – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
  • информационно-телекоммуникационная сеть (ИТКС) – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

К объектам КИИ относятся системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП и обеспечивают взаимодействие указанных выше систем или сетей.

Субъекты КИИ

Согласно Федеральному закону № 187 субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные сферы финансового рынка;
  • топливно-энергетический комплекс;
  • атомная сфера;
  • сфера обороны;
  • ракетно-космическая отрасль;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность.

Категорирование КИИ

В соответствии с Федеральным законом 187-ФЗ всем субъектам КИИ необходимо провести категорирование объектов КИИ.

Значимые (по результатам категорирования) объекты требуется защищать, в соответствии с пп.1 п.3 ст.9 и ст. 11 Федерального закона 187-ФЗ.

Перед тем как проводить категорирование, определяется, есть ли у организации объекты, влияющие на перечисленные выше сферы. Если да, то проводится категорирование объектов КИИ.

Категорирование объектов КИИ проводится в несколько этапов:

  1. Определение объектов у субъекта КИИ – у субъекта запрашивается полная информация об объектах (проектная документация; информация, которая обрабатывается в объекте и т.д.).
  2. Для проведения категорирования решением руководителя субъекта КИИ создается постоянно действующая комиссия по категорированию.
  3. Формируется Перечень объектов КИИ.
  4. После утверждения Перечня объектов КИИ субъект направляет информацию с перечнем объектов КИИ в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
  5. Формирование Сведений о результатах проведения категорирования объектов КИИ.
  6. После утверждения результатов субъект направляет информацию со Сведениями о результатах проведения категорирования объектов КИИ в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

Субъект КИИ проводит категорирование не реже чем один раз в 5 лет, но есть случаи, при которых пересмотр результатов категорирования необходим.

Исходя из Правил категорирования объектов КИИ, случаями пересмотра являются:

  • в случае изменения показателей критериев значимости объектов КИИ или их значений;
  • в случае изменения категории значимости объектов КИИ.

Таким образом, категорирование позволяет оценить текущую безопасность функционирования объектов КИИ, провести анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении объектов КИИ и сформировать новые механизмы для повышения эффективности информационной безопасности объектов КИИ.

Согласно ст.12 187-ФЗ аудит безопасности КИИ осуществляется федеральным органом исполнительной власти в целях прогнозирования возможных угроз и выработки мер по повышению устойчивости и функционирования системы обеспечения информационной безопасности (СОИБ). Также по данному вопросу субъект КИИ может привлекать стороннюю организацию для проведения периодического аудита СОИБ.

Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Выполнение требований SWIFT

Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)

Подробнее