Безопасность критической информационной инфраструктуры (КИИ)

Обеспечение безопасности объектов критической информационной инфраструктуры позволяет выполнить требования законодательства Российской Федерации в части Федерального закона от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и вытекающих из него нормативно-правовых актов.

Заказать услугу Задать вопрос

Заказать услугу Задать вопрос

Безопасность критической информационной инфраструктуры (КИИ)

Начните сотрудничество с индивидуальной консультации.

Заказать услугу

Что такое критическая информационная инфраструктура (КИИ)?

Критическая информационная инфраструктура представляет собой комплекс из объектов КИИ и сетей электросвязи, используемых для организации взаимодействия таких объектов.

Что такое объект КИИ?

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Кто является субъектом КИИ?

Субъекты КИИ – организации, которым принадлежат информационные системы функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, которые обеспечивают взаимодействие указанных систем или сетей.

Чем мы можем быть полезны при построении систем защиты критической информационной инфраструктуры?

Вопросы, возникающие при обеспечении безопасности КИИ регулируются Федеральным законом от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и иными нормативными актами, исполнение которых является обязательным для субъектов КИИ. Если ваша организация является владельцем информационных систем, функционирующих в сферах КИИ, наши специалисты помогут:

провести аудит на предмет выявления объектов КИИ (ОКИИ);
провести категорирование объектов в соответствии с требованиями нормативных документов;
разработать план подключения к ГосСОПКА и план информирования НКЦКИ;
сформировать требования к построению системы защиты (проектирование системы защиты);
разработать эксплуатационную документацию на систему защиты ОКИИ;
реализовать организационное и техническое обеспечение защиты ОКИИ;
провести приемочные испытания объекта и его подсистемы безопасности (аттестация).

На всех этапах функционирования ОКИИ мы окажем помощь в поддержании действующей системы защиты в актуальном состоянии, проинформируем и проконсультируем при внесении изменений в законодательство в сфере информационной безопасности.

Что будет, если мы не проведем мероприятия по защите объектов КИИ?

За нарушение требований в области обеспечения безопасности критической информационной инфраструктуры установлена административная и уголовная ответственность, которую должностные и/или юридические лица могут понести в случае проверок или происшествий.

В КоАП РФ предусмотрены штрафы:

от 1 тыс. до 50 тыс. руб. на должностное лицо
от 50 тыс. до 500 тыс. руб. на юридическое лицо

В УК РФ предусмотрена ответственность за нарушения в сфере КИИ, вплоть до лишения свободы сроком на 10 лет в случае нарушений (повлекших тяжкие последствия).

Подробности читайте в нашей статье.

У нас нет объектов, обеспечивающих критические процессы, следовательно, ничего не нужно категорировать?

Отсутствие критических процессов в объектах КИИ не говорит о том, что их не нужно категорировать. Согласно подпункту «е», пункта № 5, ПП №127, должно проводиться «присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости».

Нужно ли нам проводить категорирование, если мы относимся к субъектам КИИ, но у нас нет значимых объектов?

Понять, является ли объект значимым или нет (или повлечет ли за собой выход объекта из строя какие-то негативные последствия), можно только после проведения категорирования. Часто, в беседах с заказчиком, встречается ошибочное мнение о том, что негативные последствия будут отсутствовать. Однако, при более детальном разборе, выясняется, что, даже несмотря на возможное отсутствие последствий для заказчика, объект будет иметь показатель по критериям значимости и их значениям, указанным в 127 ПП.
Поэтому, в отношении каждого объекта КИИ нужно провести процедуру категорирования (присвоить категорию значимости, либо принять решение об отсутствии необходимости присвоения категории).

Сфера деятельности нашей компании указана в 187-ФЗ, но мы не являемся субъектами КИИ. Так может быть?

Сферы: здравоохранения, науки, транспорта, связи, энергетики, банковская сфера и иные сферы финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности).
Если организация относится к сфере, указанной в 187-ФЗ (например – операторы связи, заводы (химические, ракетные, оборонные), банки, больницы и т.д. по сферам), то она практически со 100 процентной вероятностью является субъектом КИИ. Исключением является момент, когда у организации нет своих (или нет в целом) АСУ, ИС, ИТКС, предназначенных для осуществления деятельности в указанных направлениях (сферах).
Кроме этого, даже организации, деятельность которых напрямую не связана с указанными сферами, также могут быть субъектами КИИ (поскольку в сферах должны функционировать не организации, а их объекты информатизации).

Безопасность критической информационной инфраструктуры (КИИ)

2.6 Мб

Назад к списку