PROJECT OVERVIEW

В 2017 году подписан ФЗ № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», который вступил в силу с 1 января 2018 года. Данный закон регулирует отношения  государственных и частных предприятий в области обеспечения безопасности критической информационной инфраструктуры (КИИ), для устойчивого функционирования,  при  компьютерных атаках и иных преступлениях в области информационной безопасности. Основной надзорный орган – Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Помимо операторов связи под регулирование в области обеспечения безопасности КИИ попали и другие сферы и сегменты экономики: здравоохранение, наука, транспорт, энергетика, банковская сфера, сфера финансовых рынков, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность.

 

СУБЪЕКТ И ОБЪЕКТ КИИ

Существует два базовых понятия это субъект и объект КИИ.

Субъект КИИ это организация, т.е. государственный орган, государственное учреждение, юридическое лицо  или индивидуальный предприниматель у кого присутствует объект КИИ.

Объект КИИ это следующие виды объектов,  которые принадлежат субъектам КИИ:

1. Информационные системы (ИС). Совокупность информации в базах данных и средства, которые её обрабатывают.
2. Информационно-телекоммуникационные сети (ИТКС). Системы, осуществляющие передачу информации по линиям связи.
3. Автоматизированные системы управления (АСУ). Комплекс средств автоматизации и информационных технологий, для реализующая производственных функций.

 

ОПЕРАТОР СВЯЗИ ЭТО СУБЪЕКТ КИИ?

Законодатель пошёл простым путём, он ввёл критерии, по которым  можно быстро определить является организация субъектом КИИ или нет. После чего субъект КИИ проводит организационные действия и определяет наличие у себя объектов КИИ.  Т.е. субъектами КИИ операторов связи обозначили сразу, а далее каждый утверждает отсутствие, наличие и количество объектов КИИ, описывает их и обеспечивает выполнение мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Надзорный орган производит оценку действий и решений субъектов КИИ, контролирует и корректирует их работу.

Критерии субъекта КИИ:

• ОКВЭД относится к одному из указанных выше секторов экономики
• организация обладает лицензией, в нашем случае на услуги связи
• организация обеспечивают взаимодействие систем и/или сетей принадлежащих субъектам КИИ
• вы собственник или арендуете потенциальный объект КИИ

Наличие любого из этих критериев автоматически включает вас в список субъектов КИИ и накладывает на вас обязательство проанализировать наличие объектов КИИ и в положительном или отрицательном случае сообщить в ФСТЭК.

Необходимо провести инвентаризацию следующих систем:

• Информационных (базы данных, файлы данных);
• Программных (системное и прикладное ПО);
• Технических (компьютеры, сервера, коммутационное оборудование, носители данных).

В случае с операторами связи, необходимо выделить критические процессы, прекращение и некорректная работа которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, в том числе у других субъектов КИИ, которые обеспечивают оборону, безопасность и правопорядок государства и критической информационной инфраструктуры. Необходимо провести анализ угроз безопасности информации, мониторинг критических процессов и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, а также рассмотреть возможные действия нарушителей. Создав модель угроз и нарушителя безопасности информации.

 

 

 

 

С ЧЕГО НАЧАТЬ?

Всё начинается с создания комиссии, которая будет делать анализ информации и процессов компании, создавать приказы, положения и принимать решение о наличии и отсутствию объектов КИИ.

Рекомендуем для рассмотрения следующий список потенциальных участников комиссии:

• Руководитель компании или уполномоченное лицо (генеральный директор, его заместитель)
• Руководители понимающие все технологические процессы в компании и их взаимосвязь (технический директор, главный инженер)
• Специалист отвечающие за информационную безопасность (главный администратор сети)
• Специалист финансово экономического подразделения, для расчета показателей экономической значимости (экономист)
• специалист юридических подразделений для проверки корректности соблюдения процедуры и оформления документов (юрист)

Рекомендованный состав больше относиться к крупным операторам связи и лишь подсказывает кандидатов и затрагиваемые аспекты оценки процессов. Для небольших компаний этот перечень лучше сократить.

Комиссия формирует положение о комиссии по категорированию объектов критической информационной инфраструктуры, где прописывает все принципы работы комиссии.

После чего  утверждается план работы и формируется перечень объектов критической информационной инфраструктуры на своём предприятии. Важно, что в перечень включаются все объекты КИИ, как значимые, так и не значимые. Нужно сформировать перечень всех объектов КИИ, после чего у организации будет еще год, для проведения категорирования и установления степени значимости.

 

 

 

СРОКИ ИСПОЛНЕНИЯ

Большинство государственных органов и учреждений уже прошли этап создания комиссии, утверждения перечня объектов КИИ и их категорирования, процесс активно проходит с 2017 года. В середине 2019 года постановлением правительства № 452 для государственных органов и учреждений утверждена дата 1 сентября 2019 года для формирования перечня объектов и максимум в течении года, т.е. до 1 сентября 2020 года эти организации обязаны провести категорирование объектов КИИ.

Для коммерческих компаний эти даты можно рассматривать как рекомендованные, ФСТЭК уже начал рассылать запросы участникам Ассоциации, а привлечение прокуратуры, в качестве дополнительного контроля  подсказывают, что операторам уже сейчас необходимо запускать процедуры и быть готовыми к проверкам.

Помимо регуляторной нагрузки операторы, которые реально запустили процедуры изучения процессов и безопасности своих информационных систем и телекоммуникационных сетей говорят, что данный процесс не быстро закрыть. Необходимо разобраться какие системы присутствуют на предприятии, создать систему оценки уровня безопасности и такая систематизация даёт возможность увидеть слабые звенья, упорядочить вопрос доступов, рассмотреть слабые места и механизмы их устранения. Необходимо находить и положительные моменты от такой систематизации и работы.

Поэтому рекомендуем не откладывать процесс, мы уверены, что в ближайшее время усилится контроль и появятся жёсткие наказания за попустительство в вопросе КИИ.

 

 

 

ПРАВОВАЯ БАЗА

• Указ Президента РФ от 22 декабря 2017 г. № 620 “О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
• Постановлением Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений».
• Постановление Правительства РФ от 17 февраля 2018г. № 162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»
• Постановление Правительства Российской Федерации от 13.04.2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127»
• Приказ ФСТЭК России от 6 декабря 2017 г. №227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры РФ».
• Приказ ФСТЭК России от 21 декабря 2017г. №235 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».
• Приказ ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
• Приказ ФСТЭК России от 25 декабря 2017г. №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ».