Критическая информационная инфраструктура
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» направлен на обеспечение устойчивого и бесперебойного функционирования критической информационной инфраструктуры Российской Федерации, а также для правового регулирования в сфере обеспечения информационной безопасности.
Согласно закону, выделяются следующие основные термины:
- критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
- объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
- субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
- безопасность критической информационной инфраструктуры – состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

В соответствии со статьей 7 закона объекты критической информационной инфраструктуры должны быть категорированы.
В соответствии с пунктом 1 статьи 10 закона в целях обеспечения безопасности значимого объекта критической информационной инфраструктуры должна быть создана система безопасности такого объекта:
«1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование».
Для создания системы безопасности значимых объектов критической информационной инфраструктуры необходимо руководствоваться Приказом ФСТЭК России № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» для обеспечения безопасности значимых объектов критической информационной инфраструктуры необходимо руководствоваться приказом ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Мы предлагаем весь комплекс работ по обеспечению безопасности объектов критической информационной инфраструктуры:
1. Анализ процессов организации, выявление критичных процессов.
- Анализ процессов (управленческих, технологических, производственных, финансово-экономических и иных) организации с целью выявления критических процессов. По результатам предоставляется отчет по анализу процессов организации.
- Обследование объектов КИИ (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов. По результату подготавливается перечень объектов КИИ.
- Подготовка отправки перечня объектов КИИ во ФСТЭК России.
Подготовка сведений о результатах присвоения объекту КИИ (для каждого объекта КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, включающего в себя:
- Сведения о субъекте КИИ.
- Сведения об объекте КИИ (какие критические процессы затрагивает, архитектура объекта, взаимодействие с сетями электросвязей, сведения об используемых программных и программно-аппаратных средствах).
- Сведения о применяемых средствах защиты информации.
- Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ.
- Возможные последствия в случае возникновения компьютерных инцидентов.
- Категория значимости, которая присвоена объекту КИИ.
- Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта КИИ.
- Подготовка плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры.
- Подготовка организационно-распорядительной документации по созданию структурного подразделения по безопасности субъекта КИИ.
- Разработка требований к обеспечению безопасности значимого объекта КИИ.
- Анализ угроз безопасности информации и разработка модели угроз безопасности информации;
- Разработка технического задания на создание подсистемы безопасности значимого объекта КИИ.
- Разработка проектной документации на создание подсистемы безопасности значимого объекта КИИ.
- Разработка рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
- Установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств.
- Разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта.
- Внедрение организационных мер по обеспечению безопасности значимого объекта.
- Предварительные испытания значимого объекта и его подсистемы безопасности.
- Опытная эксплуатация значимого объекта и его подсистемы безопасности.
- Анализ уязвимостей значимого объекта и принятие мер по их устранению.
- Приемочные испытания значимого объекта и его подсистемы безопасности.
- Подготовка акта приемки значимого объекта в эксплуатацию.
Данные услуги оказываются с полным вовлечением субъекта КИИ, подписывается соглашение о взаимодействии и разграничении ответственности. Услуги включают в себя:
- Планирование мероприятий по обеспечению безопасности значимого объекта.
- Анализ угроз безопасности информации в значимом объекте и последствий от их реализации.
- Управление (администрирование) подсистемой безопасности значимого объекта.
- Управление конфигурацией значимого объекта и его подсистемой безопасности.
- Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта.
- Обеспечение действий в нештатных ситуациях в ходе эксплуатации значимого объекта.
- Информирование и обучение персонала значимого объекта.
- Контроль за обеспечением безопасности значимого объекта.
- Обеспечение безопасности значимого объекта при выводе его из эксплуатации.