Челябинск и область
8 (351) 729-81-89, доб 4010
Критические информационных инфраструктуры, кии, категорирование объектов кии

Критические информационные инфраструктуры 

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры (КИИ).

Что такое КИИ и кто попадает под ФЗ-187?

Критическая информационная инфраструктура (КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия.

 

Субъектами КИИ являются государственные органы и учреждения, юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из следующих областей:

Объекты КИИ

  • информационные системы
  • телекоммуникационные сети
  • автоматизированные системы управления технологическими процессами
  • Субъекты КИИ

    Здравохранение

    Банковская сфера и иные сферы финансового рынка

    Топливно-энергитический комплекс

    Атомная промышленность

    Военно-промышленный комплекс

    Ракетно-космическая промышленность

    Горнодобывающая промышленность

    Металургическая и химическая промышленность

    Наука, транспорт, связь

    Юр. лица и ИП, которые взаимодействуют с системами КИИ

    Что должны предпринять субъекты КИИ?

    Согласно закону, субъекты КИИ должны:

    Провести категорирование объектов КИИ;
    Обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
    Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

    Услуги по КИИ

    Категорирование объектов КИИ

    - Составляем приказ о создании комиссии
    - Определяем объекты и формируем перечень
    - Заполняем форму сведений об объекте и субъекте КИИ
    - Определяем категорию значимости, если она имеется (анализируем 14 показателей категорирования и 5 видов показателей категорирования)
    - Формируем акт категорирования для последующей отправки во ФСТЭК

    Доп. услуга
    Оценка соответствия мер по ИБ объектов КИИ

    - Анализ используемых средств защиты
    - Формирование адаптированного базового набора мер, на основании актуальных угроз
    - Обоснование необходимости создания или модернизации существующей системы защиты

    Доп. услуга
    Внедрение и настройка СЗИ

    Разработка и внедрение единых требований к обеспечению безопасности:
    - Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
    - Разработка модели угроз;
    - Внедрение организационных мер по обеспечению безопасности

    Часто задаваемые вопросы

    Как определить, что Вы субъект?

    Существует несколько критериев для определения, является ли организация субъектом КИИ:

  • Первый критерий – ОКВЭД организации.
  • Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам.
  • Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
  • Что такое ГосСОПКА и для чего она нужна?

    ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА). К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ России;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

  • ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

    Что подразумевается под интеграцией с ГосСОПКА?

    Интеграция в ГосСОПКА требует от субъекта КИИ:

    • информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
    • оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

    •  

    Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

    Что мы получим по итогу категорирования?

    По итогам работы вы получите:

  • Шаблон приказа о создании комиссии по категорированию объектов КИИ;
  • Акт обследования КИИ;
  • Модель угроз безопасности информации, включающую модель нарушителя;
  • Шаблон приказа об утверждении перечня объектов КИИ;
  • Акт категорирования объектов КИИ;
  • Заполненную форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
  • Кто контролирует выполнение требований закона о безопасности КИИ?

    Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.

    Какая ответственность за отказ от категорирования?

    Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

  • влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей;
  • на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет;
  • на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
  • Не нашли, что искали?

    Узнайте всё о критических информационных инфраструктурах у наших консультантов

    Почему именно мы ?

    ООО «ПНК» на рынке с 1999 года и является одним из ведущих Удостоверяющих центров в регионе. Организация ООО «ПНК» обладает Лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации и Лицензией ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств. Во исполнение требований ФЗ № 63 «Об электронной подписи», Удостоверяющий Центр «ПНК» прошёл процедуру аккредитации в Минкомсвязи России (Приказ Минкомсвязи России № 389 от 28.07.2017 г. «Об аккредитации удостоверяющих центров»).

    Все сотрудники дипломированые специлисты по информационной безопасности

    Проведено более 1000 аттестационных испытаний с выдачей аттестата соответствия
    Мы являемся лицензиатами ФСБ и ФСТЭК

    За 2018 г. все клиенты прошли успешную проверку у регуляторов

    Партнёры

    Контактная информация

    Телефон
    8 (351) 729-81-89, доб 4010
    Почта
    Адрес
    г. Челябинск, ул. Карла Либкнехта, дом 2, офис 523
    Время работы
    С 8:00 до 17:00