Критическая информационная инфраструктура

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» направлен на обеспечение устойчивого и бесперебойного функционирования критической информационной инфраструктуры Российской Федерации, а также для правового регулирования в сфере обеспечения информационной безопасности.

Согласно закону, выделяются следующие основные термины:

• критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
• объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
• субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
• безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

В соответствии со статьей 7 закона объекты критической информационной инфраструктуры должны быть категорированы.

В соответствии с пунктом 1 статьи 10 закона в целях обеспечения безопасности значимого объекта критической информационной инфраструктуры должна быть создана система безопасности такого объекта:

«1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование».

Для создания системы безопасности значимых объектов критической информационной инфраструктуры необходимо руководствоваться Приказом ФСТЭК России № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» для обеспечения безопасности значимых объектов критической информационной инфраструктуры необходимо руководствоваться приказом ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Мы предлагаем весь комплекс работ по обеспечению безопасности объектов критической информационной инфраструктуры:

1. Анализ процессов организации, выявление критичных процессов.

• Анализ процессов (управленческих, технологических, производственных, финансово-экономических и иных) организации с целью выявления критических процессов. По результатам предоставляется отчет по анализу процессов организации.
• Обследование объектов КИИ (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов. По результату подготавливается перечень объектов КИИ.
• Подготовка отправки перечня объектов КИИ во ФСТЭК России.

2. Категорирование объектов КИИ.

Подготовка сведений о результатах присвоения объекту КИИ (для каждого объекта КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, включающего в себя:

• Сведения о субъекте КИИ.
• Сведения об объекте КИИ (какие критические процессы затрагивает, архитектура объекта, взаимодействие с сетями электросвязей, сведения о используемых программных и программно-аппаратных средствах).
• Сведения о применяемых средствах защиты информации.
• Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ.
• Возможные последствия в случае возникновения компьютерных инцидентов.
• Категория значимости, которая присвоена объекту КИИ.
• Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта КИИ.

3. Проектирование системы безопасности (далее – СБ) значимых объектов КИИ.

• Подготовка плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры.
• Подготовка организационно-распорядительной документации по созданию структурного подразделения по безопасности субъекта КИИ.
• Разработка требований к обеспечению безопасности значимого объекта КИИ.
• Анализ угроз безопасности информации и разработка модели угроз безопасности информации;
• Разработка технического задания на создание подсистемы безопасности значимого объекта КИИ.
• Разработка проектной документации на создание подсистемы безопасности значимого объекта КИИ.

4. Внедрение системы безопасности.

• Разработка рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
• Установка и настройка средств защиты информации, настройка программных и программно-аппаратных средств.
• Разработка организационно-распорядительных документов, регламентирующих правила и процедуры обеспечения безопасности значимого объекта.
• Внедрение организационных мер по обеспечению безопасности значимого объекта.

5. Оценка системы безопасности.

• Предварительные испытания значимого объекта и его подсистемы безопасности.
• Опытная эксплуатацию значимого объекта и его подсистемы безопасности.
• Анализ уязвимостей значимого объекта и принятие мер по их устранению.
• Приемочные испытания значимого объекта и его подсистемы безопасности.
• Подготовка акта приемки значимого объекта в эксплуатацию.

6. Сопровождение системы безопасности объектов КИИ.

Данные услуги оказываются с полным вовлечением субъекта КИИ, подписывается соглашение о взаимодействии и разграничении ответственности. Услуги включают в себя:

• Планирование мероприятий по обеспечению безопасности значимого объекта.
• Анализ угроз безопасности информации в значимом объекте и последствий от их реализации.
• Управление (администрирование) подсистемой безопасности значимого объекта.
• Управление конфигурацией значимого объекта и его подсистемой безопасности.
• Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта.
• Обеспечение действий в нештатных ситуациях в ходе эксплуатации значимого объекта.
• Информирование и обучение персонала значимого объекта.
• Контроль за обеспечением безопасности значимого объекта.
• Обеспечение безопасности значимого объекта при выводе его из эксплуатации.