Как защитить КИИ в соответствии с 187-ФЗ.

заказать решение

Как защитить КИИ в соответствии с 187-ФЗ»

Федеральный закон №-187 от 26.07.2017г. «О безопасности критической информационной инфраструктуры Российской Федерации» (далее Закон) вступил в силу 01 января 2018г.






187-ФЗ: что такое субъекты и объекты КИИ.

В соответствии с Законом «О безопасности КИИ РФ», субъекты КИИ — это государственные органы и учреждения, коммерческие компании и индивидуальные предприниматели, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности. Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017г.



Кого касаются требования 187-ФЗ о безопасности КИИ

Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи, а также предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы. Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям — необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.



Как составить перечень объектов КИИ

В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом — в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (перечень объектов направляется во ФСТЭК). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018г., сделать это нужно было до 1 августа 2018 года.



Как определить категории значимости объекта КИИ

Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018г. «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений». Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая — без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017г.). Категорирование объектов КИИ нужно закончить до 1 января 2019 года. Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные категории значимости, в т.ч. и более низкие. Такой подход позволит оптимизировать затраты по защите КИИ.



Как защитить объекты КИИ

Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017г. «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ». Определено 17 мер, степень выполнения которых будет зависеть от присвоенной объекту КИИ категории.

В приказе ФСТЭК России №235 от 21.12.2017г. «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» определены средства обеспечения безопасности: СЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение); межсетевые экраны; средства обнаружения (предотвращения) вторжений (компьютерных атак); средства антивирусной защиты; средства (системы) контроля (анализа) защищенности; средства управления событиями безопасности; средства защиты каналов передачи данных. Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом № 184-ФЗ от 27.12.2002г. «О техническом регулировании».



Как подключиться к НКЦКИ (ГосСОПКА)

Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ. Нормативная база, регулирующая процесс государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, определяется ФСБ России. В соответствии с Приказом ФСБ РФ № 366 от 24.07.2018г. «О Национальном координационном центре по компьютерным инцидентам» учрежден национальный координационный центр критической инфраструктуры (НКЦКИ). НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением. Центр будет получать от субъектов КИИ и других организаций данные для передачи в ГосСОПКА, в его задачи также войдет определение форматов обмена информацией и технических параметров компьютерного инцидента, передаваемых в ГосСОПКА.



Какова ответственность за нарушения?

Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Однако, ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными — в уголовный кодекс уже внесены соответствующие изменения (ФЗ-191):



Уголовная (персональная) ответственность

В УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 10 лет (при совершении преступления группой лиц и наступлении тяжких последствий). Последственность статьи 274.1 – ФСБ России (статья 151 УПК РФ).



Ответственность организаций (КОАП)

Статья 13.12: нарушение правил защиты информации. Изменения по КИИ в КОАП дополнительно готовит ФСТЭК России.



Выводы:

Не все организации имеют соответствующие компетенции, чтобы провести все указанные мероприятия по защите КИИ самостоятельно.

Компания «Антивирусный Центр» как системный интегратор проведёт обследование ИТ-инфраструктуры и сформирует дорожную карту работ, включающую перечень организационных и технических мероприятий и определение технических средств защиты для приведения систем защиты в соответствие ФЗ-187. Время на это пока еще есть, но его осталось уже не так много, стоит поспешить.





Компания «Антивирусный Центр» выполняет следующие мероприятия, необходимые по защите КИИ в рамках требований 187-ФЗ для своих заказчиков:

  • 1) Проведение аудита, моделирование угроз, формирование требований к мерам защиты значимых объектов критической информационной инфраструктуры:
    • • Анализ процессов, обеспечивающих основные виды деятельности предприятия
    • • Определение категории значимости объектов КИИ
    • • Анализ существующих мер защиты значимых объектов КИИ, анализ рисков возникновения инцидентов информационной безопасности и разработка модель угроз и нарушителя.
    • • Формирование требований к мерам защиты и работам по их реализации с учетом требований ФСТЭК.
  • 2) Проектирование и внедрение средств защиты КИИ и технологических сегментов, включая выполнение строительно-монтажных работ:
    • • Проектирование технических мер защиты.
    • • Разработка организационно-распорядительной документации.
    • • Разработка эксплуатационной документации.
    • • Внедрение средств защиты.
    • • Строительно-монтажные работы.
    • • Пуско-наладочные работы.
    • • Испытания (включая опытную эксплуатацию).
  • 3) Поставка средств защиты, внедрение и передача в промышленную эксплуатацию.
  • 4) Сопровождение средств защиты и развитие системы:
    • • Консультации по эксплуатации средств зашиты.
    • • Периодический анализ рисков и корректировка политик безопасности.
    • • Адаптация защиты КИИ в случаях изменений в нормативных документах.

Менеджеры «Антивирусного Центра» проконсультируют и окажут техническую поддержку.

заказать решение