Главным принципом обеспечения безопасности является предотвращение компьютерных атак. КИИ или КСИИ? До появления нового закона о КИИ в сфере ИБ существовало похожее понятие «ключевые системы информационной инфраструктуры» (КСИИ). Однако с 1 января 2021 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ». Какие организации попадают в сферу действия этого закона? Требования закона о безопасности КИИ затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в законе называются субъектами КИИ.
Содержание:
- Кии. категорирование объектов, часть 3
- Закон о безопасности кии: вопросы и ответы
- Безопасность кии: коротко о главном
- Госсопка
- Исполнение закона о кии: первая практика
Кии. категорирование объектов, часть 3
Лчъ╧яЬйeкy╠ sQ)З~п∙ЁА дзjь;Uх╔sОР╙НИаэAt╠ЪАЛ4.з-U]rk·эfэж1C}T╠:?╪#ъ╢Б╦жЯETП^ЧжiR endstream endobj 1506 0 obj <</Filter/FlateDecode/Length stream ╘*╜л.│с*J╟┤рП╚I╠и▓÷pПС└,QГгm╙&&lФЕnGА╔olW.=╟Д1rkEHФГ┴жюмъNЭм╝╗эЦвUБ╔Т](%╡═╩∙б,≥C}М?▌Ё_Е&Гd⌡&е╛в9°э)н)Я@▄BИРЩИцv╔зх`╗у©КтZаQ╠÷0ё┬c╡·/∙╓▒СрТwнн╠F▀ :0└’M1FW÷VtрФfз┐!»FY▄,Wй2▀хO≈|m╝g▀FiйWЧ▌├p_ б°l nЭЛзhqЗ0u├ХДo]╗─ZyqпW▌АA}⌡Ф≈╧ЕъKZ╞Й┐зЬсН▄┐eСу≤Ъ·%▀т╬ю[▓Ы Gh)Уc≤Щ бДФ■KэкFкf%Бф-s/шшt─÷u÷В▒ ‘В╗о┼f└S#Нp;╬bФ)}ФхLGЫhяюO0Fн═{╘≤╟WkтЖW┘├╠цЁ╒Щ╕ьНsG∙╞yv┬[л≈ТLц[Ъ&■ф┤CВс≤I%f╧ф кPМ▓jл÷h⌡+B ;╔2 I╧еZJ⌠╥Ot╞у┴~QG╥vpQRf░+НLmк@еSРЗzДВ6D▌▐bWNГИ5)╘п÷:!Г╚V ■я~?XЮsI╩ОЖD ╨м╛Юa:+Зкн╢╧)f∙’фdы_аТ░▓аUZ16O╠ь( :T┬7U°CT9я▓╤ ЗГ╝2√ь═Egюo▒*╬╟XпмbJ*═╧^╒, зWe]╦┴6÷rОН_├~и@²#Цхц4D╤├d°QД.я╛ёrXПА┼o╗Б/╜ЁОпз»h▒╛zЧТU°2N⌡▄цю┤Ф~я∙1 ÷/%≥WНчn0≤⌠]╥hАS■─Юю,┴b⌠/≤l|7N║bIёFбщПJ╠ЪП⌠Ч’|XГДБoJ■▄└░nЛyh╩ёwЧС▐+Ы&╓pn:с╕K%qGD∙юG;я╥ОЗ▒chт9▄пю’gЬнoъГ( К╥dязpUG~▀Б▀╚J┼┼ ╠ j}╦╬с1Td▒_┴ 4qуsа╗╨.
Закон о безопасности кии: вопросы и ответы
Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости.
Безопасность кии: коротко о главном
Важно
КИИ за несоблюдение принятых правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает под ст. 293 УК РФ «Халатность». Дополнительно следует ожидать изменений в административном законодательстве в области определения штрафных санкций для юридических лиц за неисполнение закона о безопасности КИИ.
С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований обсуждаемого закона.
Госсопка
Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются по усмотрению субъекта. Для значимых объектов КИИ помимо интеграции в ГосСОПКА субъекты КИИ должны:
- создать систему безопасности значимого объекта КИИ — требования ФСТЭК к созданию систем безопасности и мерам защиты значимых объектов КИИ уже подготовлены и находятся на стадии обсуждения и согласования;
- реагировать на компьютерные инциденты — порядок реагирования на компьютерные инциденты должен быть подготовлен ФСБ до конца апреля текущего года;
- предоставлять на объект КИИ беспрепятственный доступ регуляторам и выполнять их предписания по результатам проверок (законом предусматриваются как плановые, так и внеплановые проверки).
Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.
Исполнение закона о кии: первая практика
Порядок создания системы и требования к принимаемым мерам безопасности будут определяться ФСТЭК. Согласно подготовленному проекту приказа этого ведомства, состав мер по обеспечению безопасности значимого объекта КИИ будет определяться по результатам его категорирования с возможностью адаптации и дополнения набора мер защиты с учетом специфики объекта КИИ. Кто контролирует выполнение требований закона о безопасности КИИ? Основные функции контроля в области обеспечения безопасности объектов КИИ, включая нормативно-правовое регулирование, возложены на ФСТЭК и ФСБ.
ФСТЭК отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.
Инфо
Какие действия должны предпринять субъекты КИИ для выполнения закона? Согласно документу, субъекты КИИ должны:
- провести категорирование объектов КИИ;
- обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- принять организационные и технические меры по обеспечению безопасности объектов КИИ.
Что в себя включает категорирование объектов КИИ? Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории: первая, вторая или третья. Если объект КИИ не соответствует ни одному из установленных критериев, ему не присваивается ни одна из категорий.
КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа. И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет.
Пожалуй, весомый аргумент! В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности КИИ.
Й┘╙©≈ыЪ┤1П╝K╡,х²dGCБ)Гw ╔mN┘ЧDPT■Cв7╒eЁ╞▓z8-,XNR╫═X;ж_Х8и╔СЮ»птg▌лK]ак╦mnШ╢╛DЛ=D=■$ZA▐╦ ЫДР┤Y┘▐=Tч?┤/╛pэУ╬╒░≥в┴!Мм╞ЧZ%P$ цС$ ║Hw╔╪JлЖГЯN┬п_╬Ю■Ъ√%e√ │ь7TNь╖Л╫a╚5╗A Ю╜UQ»M≤З3ШЩSH8┤÷Uz╙;Mз▐ПKуbш╬Хcя⌠[1╜УD▒v°ёг,UП=Э(NАR_/╩└ЫЬ#Кa_╒9ц©═*ЯйуфКZбп÷∙vЁХоГеЛ+м1Щ%{М4фn■В╔ЩЯ■1╝ёH0#█oF▐dSRh,╪2fjВb╙╛╙л≈ьCъ0√8┌▄mть▌+}]+У÷П╙@л√╡6BЫl6ЙKЫfF≈5√юUI▌:Н#K7│Xж i6╤э°∙█e┬┬Х╣{жKa⌡g=╛`Ё)<$█Б~YtU∙fg╪1G$ ╠█⌡н┬7 ^╝y|r╠▓XщШЖd»9.Q└▌ 3/g╥(J▓╟UАЧNbэ7уг╟X·B©Иk`╓*Ц╕Ч√▄Ф5╔B7к╟х|зNД╠HUыl│Х╠z│▄тАТA?⌠╬▀ТГ!Wс9²iчHмюЮM╟6tЧEEэ╬K)wнГ°╩▒└Р²MЧ╕E╥Я]≥:ъ;T╥ЗANЯ╠╦~/√╙╫^ыЬНЕ║^°▀⌡═Z└F{ПЪВ©B╙3≈э▄7ЧЯЁьЕM┘Д⌡s┐╦J│LУ≈╬бT&m4FРuBО╬╨ ‘йОY1a╒С╜Иb╓йIX┌ФgUЩE═~5}│┬|MщW─└8r∙З2⌠ё╔sЗ(р▐з▒G╔az{=qЦ÷╜Л≤Q╚9╔1e╖4┌StS|(@∙╔≤z═лp Ж⌠’uyв»84╧q4O`0ГJS╓SxС©■ёNs/▒NMУ7!mN&}Wd┴хНк-`и╜г}р╪ И╥⌠S,╫л∙╫ерЙd■Vьd╘Ъч░ЛW╔÷ЖжЩ{┌Эt’kqA(~?mw╤╡и1ф °╖ОЪЧк╗Rр╘X»╒ч∙@B╩ВZW`T╨╖МE’сp÷²г√t┤╦,Ю.╙≈.КЁ≈╝S█√Qлe j%&н?нn≤эЬЁ<Зк┬Х|нпПB╡i°с.╗ЬЬ}ь╨ │й*:`╫JJ╩┐р╩╝ьe╓╤] o╚Qc⌡Б║╙ыНЧy─∙▄н.
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» который вступил в силу 01 января 2021 г. постепенно набирает обороты и пополняется новыми подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации, что ожидается и что необходимо предпринять. КТО МЫ, КИИ ИЛИ НЕ КИИ? Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство.
Не нашли себя, выдохните, у вас немного меньше головной боли. Какие критерии указывают что вы субъект КИИ? Первый критерий – ОКВЭД организации.
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям. Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно».
Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта.
И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы” например, такой или такой Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ) Наименование организации Сфера деятельности Наименование объекта КИИ Планируемый срок категорирования Адрес и контакты организации ККБ №0 Здравоохранение ИС: «Электронная очередь» «СОЦ-Лаборатория» «Льготные рецепты» «М-Аптека» МИС «Самсон» «Медкомтех» «03» «Экспресс-здоровье» «Скрининг новорожденных» «Высокозатратные нозологии» «Регистр больных сахарным диабетом» АРМ ПЦ ЛЛО СК ИПРА АСУ: Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи АСУ пожаротушением АСУ рентген аппаратами АСУ томографом АСУ лучевой терапия ИТС: Корпоративная сеть ККБ №0 1 января 2021 г.