ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ №187-ФЗ

о безопасности КИИ в РФ
Краткий обзор по исполнению 187-ФЗ
Каждый год количество информации в сети увеличивается в два раза. Постоянно появляются новые, редактируются имеющиеся, копируются, отправляются и сохраняются целые терабайты данных. И лишь 20% всей информации защищено.

Это не только развлекательный и познавательный контент, но и критические данные, которые хранятся в информационных системах организаций, компаний и структур. За такими системами закрепляют статус субъекта критической информационной инфраструктуры.

Исследование Национального центра по компьютерным инцидентам выявило, что за 2018 год объекты КИИ подвергались атакам более 4 млрд раз. И это только обнаруженные.
Обеспечение безопасности КИИ
С 1 января 2018 г. начал действовать Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Он помогает определить специальную категорию для каждой сферы деятельности, которая имеет дело с чувствительной информацией. Закон обозначает зоны ответственности, внедряет регламенты и правила, чтобы обеспечить безопасность КИИ.
Подробнее о критической информационной инфраструктуре
КИИ представляет собой комплекс ресурсов, которые принадлежат определенным организациям РФ и государственными органам. Для работы они используют объекты КИИ:

  • Автоматизированные системы управления (используются на предприятиях для оптимизации работы)

  • Базы данных (личные, банковские, налоговые, транспортные и др.)

  • Информационно-коммуникационные сети (связь, Интернет)

Какие сферы деятельности работают с критической информацией?
Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры называют объектами КИИ. Они работают в данных сферах:

  • Здравоохранение

  • Наука

  • Транспорт

  • Связь

  • Банки и финансовый рынок

  • Энергетика

  • Атомная энергетика

  • Промышленность

    • Оборонная

    • Горная

    • Химическая

    • Металлургическая

    • Топливная

  • Ракетно-космическая отрасль
Главные принципы работы с КИИ
Чтобы защитить свои данные, каждая компания в критически значимых сферах обязана выполнить ряд задач:

  • Выяснить, относятся ли объекты компании к КИИ. Список критически важных отраслей указан в 187 законе, статья 2, пункт 8.

  • Создать комиссию, которая займется установлением категории объекта. Состав назначается руководителем объекта с учетом требований 11 пункта Постановления правительства РФ № 127.

  • Обозначить каждый объект КИИ. Учитываются процессы производства, управления, технологий, которые задействуют критическую информационную структуру.

  • Отправить полученный список с объектами Федеральной службе по техническому и экспортному контролю. На это дают 5 рабочих дней с момента утверждения списка.

  • Присвоить объектам один из трех статусов значимости, при условии, что они попадают под это определение. Здесь анализируются все объекты из утвержденного списка и выделяются те, которые соответствуют критериям значимости.

  • Отправить данные во ФСТЭК в течение 10 рабочих дней. Оформлять сведения важно с учетом требований приказа ФСТЭК № 236.
Важно учесть, что анализируется именно сфера действия самой организации, а не объекта, который ей принадлежит.
У субъекта критической инфраструктуры есть два уровня ценности:

  1. Значимый. Им присваивается одна из трех категорий защищенности – первого, второго или третьего уровней.

  2. Незначимый. Для них не нужно создавать специальную систему безопасности. Здесь используются стандартные меры защиты объектов.

Если после завершения всех этапов, в работе объектов КИИ произошли изменения, необходимо провести последующую процедуру категорирования. Также последующие процедуры необходимо проводить раз в 5 лет для обновления и уточнения данных.

После установления категории создается система обеспечения безопасности КИИ, которая функционирует по трем принципам:

Законность. Регулярное предоставление отчетов, проверка исполнения обязанностей по защите.

Комплексная защита КИИ. Настройка безопасности всех сегментов инфраструктуры.

Приоритет. Обязательно сообщать о происшествиях и этапах реагирования на них, а также об эффективности ликвидации последствий.
Как контролируется безопасность?
Чтобы не допустить угрозу безопасности, организации должны в кратчайшие сроки сообщать федеральным органам исполнительной власти (ФОИВ) о любых инцидентах в системе. Чем быстрее и точнее передается информация, тем больше шансов на своевременное решение проблемы без последствий.

Для этой цели, по Указу Президента Российской Федерации № 569 Федеральная служба по техническому и экспортному контролю начала управлять обеспечением безопасности КИИ.

Организацию сотрудничества между владельцами объектов КИИ и ФСТЭК, стала осуществлять ГосСОПКА – новая государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные инфраструктуры страны.
Специфика работы с ГосСОПКА
Многим компаниям не просто самостоятельно обеспечить полноценную защиту значимых ресурсов, поэтому система берет на себя контроль и автоматизацию обеспечения безопасности КИИ.

ГосСОПКА создает прогнозы и находит уязвимости, регулирует связь между субъектами КИИ. Это помогает тщательно контролировать качество защиты ресурсов и вовремя выявлять угрозы.

Также государственная система занимается расследованием уже случившихся инцидентов и применяет полученную информацию для предотвращения подобных атак в дальнейшем.

Для эффективной защиты сети каждая организация обязана незамедлительно предоставлять необходимые данные об инфраструктуре. Если данные окажутся неверны или их не отправят, это повлечет за собой сбои в работе и остановку технологических процессов.
Особенности контроля исполнения закона
При ошибке в процессе категорирования объекта и отсутствии необходимых мер защиты, злоумышленники могут нанести непоправимый ущерб компании: от репутационных и финансовых потерь, до уголовной или административной ответственности.

Несмотря на жесткий контроль и повышенную зону ответственности, далеко не все организации выполняют и минимальный перечень требований Федерального закона. Причины бывают разные: неверно определена или вовсе не определена категория значимости, неверный выбор и настройка системы безопасности (такое происходит, когда выбрана некорректная категория), задержка при формировании отчетов и многое другое.

Чтобы стимулировать компании исполнять требования, статьей 19.7.15. 187-ФЗ устанавливается штраф для должностных и юридических лиц. Если ответственное лицо не предоставит решение о категорировании объектов КИИ в ФОИВ вовремя или не предоставит совсем, то на него будет наложен штраф от 10 до 50 тысяч рублей, такой же штраф устанавливается, если не направить сведения в центр ГосСОПКА.

Для юридических лиц суммы внушительнее. Если организация не отправит данные о категорировании, размер штрафа составит от 50 до 100 тысяч. Если же ГосСОПКА не получит от организации сведения вовремя или не получит вовсе – минимальный штраф составит уже 150 тысяч рублей, а максимальный 500 тысяч рублей.
За что еще могут оштрафовать?
Безопасность критической информационной инфраструктуры не зависит только от своевременного предоставления данных, есть еще множество пунктов, выполнение которых напрямую зависят от субъекта КИИ, поэтому другие нарушения тоже облагаются штрафом. Вот только некоторые из них:

  • Несоблюдение порядка категорирования объекта и нарушение регламента по обеспечению безопасности КИИ

    • ИП – от 10 до 50 т.р.

    • Юридические лица – от 50 до 100 т.р.
  • Задержка или неинформирование органов власти о происшествиях, вариантах защиты, а также о ликвидации последствий компьютерных атак.

    • ИП – от 10 до 50 т.р.

    • Юридические лица – от 150 до 200 т.р.
Штраф может быть присвоен организации неоднократно, потому имеет смысл не затягивать процесс категорирования.
Как избежать штрафов и обезопасить объекты?
  1. Завершить категорирование объектов КИИ вовремя. Присвоить верную категорию значимости, согласовав ее с государственными органами

  2. Продумать и утвердить подходящую систему защиты объекта

  3. Внедрить согласованную систему . Подключиться к ГосСОПКА, настроить оборудование, установить регламенты.

Обычно, система защиты проектируется комплексно. Для начала проводится глубокий анализ угроз и прогнозируются возможные проблемы. После чего разрабатывается уникальное техническое задание для конкретного объекта и эксплуатационная документация, а потом начинается процесс проектирования системы.

После установки системы обязательно проводятся тестирования, анализируются уязвимости и только после этого она начинает полноценно работать и может быть внедрена.
Для корректного функционирования, работа с системой безопасности должна вестись в строгом соответствии с установленными регламентами.
Закон относительно молод, поэтому в процессе оформления объектов часто возникают трудности, а ответ от контролирующих органов можно ждать до 30 дней, иногда и дольше.

Для того, чтобы избежать появления типовых уязвимостей и не пропустить сроки оформления, рекомендуется обратиться к специалистам. Они проконтролируют каждый этап категорирования объектов, настроят системы защиты, а также научат правильно взаимодействовать с контролирующими органами.

Остались вопросы?
Оставьте заявку на консультацию. Наш специалист свяжется с вами в ближайшее время