Кого это касается
С 1 января 2018 года в РФ вступил в силу Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), который призван обеспечить устойчивое функционирование критической информационной инфраструктуры Российской Федерации (далее – критическая информационная инфраструктура или КИИ) при проведении в отношении ее компьютерных атак.
Субъектами КИИ являются государственные органы и учреждения, хозяйствующие субъекты (российские юридические лица, индивидуальные предприниматели), которым любом законном основании (включая аренду) принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в отраслях:
— здравоохранения,
— науки,
— транспорта,
— связи,
— энергетики,
— банковской сферы и иных сферах финансового рынка,
— топливно-энергетического комплекса,
— атомной энергии,
— оборонной промышленности,
— ракетно-космической промышленности,
— горнодобывающей промышленности,
— металлургической промышленности,
— химической промышленности.
Субъектами КИИ также являются российские организации, которые обеспечивают взаимодействие указанных систем или сетей через информационно-телекоммуникационные сети, обеспечивающие взаимодействие информационных систем, автоматизированных системы управления в перечисленных отраслях.
Законодательство предусматривает различные меры воздействия за нарушения при исполнении требований законодательства по КИИ, которые являются беспрецедентно жёсткими для сферы обеспечения информационной безопасности.
Что необходимо делать
Первым шагом при выполнении субъектом КИИ требований 187-ФЗ и принятых в соответствии с ним нормативных актов (законодательство по КИИ) является проведение процедуры категорирования принадлежащих ему объектов КИИ. Такое категорирование проводится в соответствии с порядком, установленным Постановлением Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Процедура проводится с целью установления одной из категорий значимости либо принятия и фиксации решения об отсутствии необходимости присвоения каждому объекту КИИ одной из таких категорий.
Сведения по результатам категорирования объекта КИИ направляются в Федеральную службу технического и экспортного контроля (ФСТЭК) России для проведения проверки результатов категорирования.
Для объекта КИИ, которому по результатам категорирования не присвоена одна из таких категорий и сведения по результатам категорирования согласованы со ФСТЭК России, не требуется дальнейшее проведение работ по обеспечению безопасности информации.
Для значимых объектов, категория значимости (от I до III), определяет требования по обеспечению безопасности информации, устанавливаемые нормативными документами уполномоченных органов власти, включая:
— Приказ ФСТЭК России №235 от 21.12.2017 (ред. 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
— Приказ ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»
— Приказ ФСБ России №281 от 19.06.2019 «Об утверждении Порядка, технических условий установки и эксплуатации средств ГосСОПКА»
— Приказ ФСБ России №282 от 19.06.2019 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ»
— Приказ ФСБ России №367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА».
Являемся ли мы Субъектом КИИ
Как определить является ли ваша компания (организация) субъектом КИИ? — Необходимо заглянуть в устав организации, в перечень ОКВЭД, а также перечень лицензий и прочих документов, необходимых для осуществления деятельности. Например, если ваша организация:
1) осуществляет деятельность, которая в соответствии с ОКВЭДв включает «35.30.5 — Обеспечение работоспособности тепловых сетей»;
2) при выполнении данного вида работ использует информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (даже, если это единственный компьютер, на который поступает информация с датчиков)
— то она является субъектом КИИ и должна выполнить требования 187-ФЗ. Вероятно, в большинстве случаев данный компьютер (объект КИИ) не будет отнесён к значимым объектом КИИ и понадобится разработать и направить во ФСТЭК России минимальный набор документов в рамках работ по категорированию объекта КИИ — перечень объектов КИИ и сведения по соответствующей форме.
Мы предлагаем
С целью выполнения требований Федерального закона от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» компания «Лайтигард» оказывает необходимые услуги по категорированию объектов КИИ в частности:
— определение перечня объектов критической информационной инфраструктуры;
— присвоение объекту(-там) критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему/им одной из таких категорий.
На основе проектов документов, разработанных исполнителем, каждая организация, которой принадлежат объекты КИИ, направляет во ФСТЭК России Перечень объектов критической информационной инфраструктуры и Сведения по результатам категорирования по каждому объекту критической информационной инфраструктуры.
В рамках гарантийных обязательств Исполнитель устраняет замечания ФСТЭК России к направленным документам до их окончательного согласования со стороны ФСТЭК.