Критическая информационная инфраструктура (187-ФЗ)
30 Апр 2020
Критическая информационная инфраструктура (КИИ) представляет собой значимые или незначимые объекты, функционирующие в критически важных сферах.
Объект КИИ является значимым в том случае, когда ему присвоена одна из категорий значимости и он включен в реестр значимых объектов критической информационной инфраструктуры.
Согласно Федеральному закону № 187 объектами КИИ являются:
- информационная система (ИС) – система, предназначенная для хранения, поиска и обработки информации.
- автоматизированная система управления технологическим процессом (АСУ ТП) – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
- информационно-телекоммуникационная сеть (ИТКС) – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
К объектам КИИ относятся системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП и обеспечивают взаимодействие указанных выше систем или сетей.
Субъекты КИИ
Согласно Федеральному закону № 187 субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная сфера;
- сфера обороны;
- ракетно-космическая отрасль;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность.
Категорирование КИИ
В соответствии с Федеральным законом 187-ФЗ всем субъектам КИИ необходимо провести категорирование объектов КИИ.
Значимые (по результатам категорирования) объекты требуется защищать, в соответствии с пп.1 п.3 ст.9 и ст. 11 Федерального закона 187-ФЗ.
Перед тем как проводить категорирование, определяется, есть ли у организации объекты, влияющие на перечисленные выше сферы. Если да, то проводится категорирование объектов КИИ.
Категорирование объектов КИИ проводится в несколько этапов:
- Определение объектов у субъекта КИИ – у субъекта запрашивается полная информация об объектах (проектная документация; информация, которая обрабатывается в объекте и т.д.).
- Для проведения категорирования решением руководителя субъекта КИИ создается постоянно действующая комиссия по категорированию.
- Формируется Перечень объектов КИИ.
- После утверждения Перечня объектов КИИ субъект направляет информацию с перечнем объектов КИИ в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
- Формирование Сведений о результатах проведения категорирования объектов КИИ.
- После утверждения результатов субъект направляет информацию со Сведениями о результатах проведения категорирования объектов КИИ в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Субъект КИИ проводит категорирование не реже чем один раз в 5 лет, но есть случаи, при которых пересмотр результатов категорирования необходим.
Исходя из Правил категорирования объектов КИИ, случаями пересмотра являются:
- в случае изменения показателей критериев значимости объектов КИИ или их значений;
- в случае изменения категории значимости объектов КИИ.
Таким образом, категорирование позволяет оценить текущую безопасность функционирования объектов КИИ, провести анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении объектов КИИ и сформировать новые механизмы для повышения эффективности информационной безопасности объектов КИИ.
Согласно ст.12 187-ФЗ аудит безопасности КИИ осуществляется федеральным органом исполнительной власти в целях прогнозирования возможных угроз и выработки мер по повышению устойчивости и функционирования системы обеспечения информационной безопасности (СОИБ). Также по данному вопросу субъект КИИ может привлекать стороннюю организацию для проведения периодического аудита СОИБ.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееВыполнение требований SWIFT
Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)
Подробнее