Защита критической информационной инфраструктуры

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры (КИИ).

Что такое КИИ и кто попадает под ФЗ-187?

Критическая информационная инфраструктура (КИИ)- это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия.

Субъектами КИИ являются государственные органы и учреждения, юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из следующих областей:

• Здравоохранение
• Банковские и иные сферы финансового рынка
• Топливно-энергетический комплекс
• Атомная промышленность
• Металлургическая и химическая промышленность
• Ракетно-космическая промышленность
• Горнодобывающая промышленность
• Военно-промышленный комплекс
• Наука, транспорт, связь
• Юр. лица и ИП, которые взаимодействуют с системами КИИ

Объекты КИИ:

• информационные системы
• телекоммуникационные сети
• автоматизированные системы управления технологическими процессами

Что должны предпринять субъекты КИИ?

Согласно закону, субъекты КИИ должны:

Провести категорирование объектов КИИ;

Обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Услуги по КИИ

Категорирование объектов КИИ

•  Составляем приказ о создании комиссии
•  Определяем объекты и формируем перечень
•  Заполняем форму сведений об объекте и субъекте КИИ
•  Определяем категорию значимости, если она имеется (анализируем 14 показателей категорирования и 5 видов показателей категорирования)
•  Формируем акт категорирования для последующей отправки во ФСТЭК

Оценка соответствия мер по ИБ объектов КИИ

•  Анализ используемых средств защиты
•  Формирование адаптированного базового набора мер, на основании актуальных угроз
•  Обоснование необходимости создания или модернизации существующей системы защиты

Внедрение и настройка СЗИ

•  Разработка и внедрение единых требований к обеспечению безопасности:
•  Разработка документов по безопасности:
  Комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
•  Разработка модели угроз;
•  Внедрение организационных мер по обеспечению безопасности