Безпека КВІ: як визначити, що робити і що якщо не робити

1. ХТО МИ, КВІ АБО НЕ КВІ?
2. Надішліть нам запит, і ми БЕЗКОШТОВНО проконсультуємо вас з питань безпеки критичної інформаційної...
3. ЩО РОБИТИ ЯКЩО ВИ СУБ'ЄКТ КВІ?
4. Пройдіть експрес-тест і визначте категорію значимості ваших об'єктів КВІ. За результатом тесту ви...
5. ЩО БУДЕ ЯКЩО ЦЬОГО НЕ РОБИТИ?
6. Заповніть опитувальний лист і протягом одного робочого дня ми з вами зв'яжемося і надамо Техніко-Комерційна...

Федеральний закон №-187 «Про безпеку критичної інформаційної інфраструктури (КВІ) Російської Федерації» який вступив в силу 01 січня 2018 р поступово набирає обертів і поповнюється новими підзаконними актами, які часто не полегшують життя ІБ-фахівця. Давайте розберемося в ситуації з КВІ (ФЗ-187), що очікувати і що необхідно зробити.

Спеціально для Вас Ваш час і запропонувати інформаційний матеріал відповідно до вашого інтересу!
Для це виберіть одне з нижче наведених визначень:

ХТО МИ, КВІ АБО НЕ КВІ?

Насамперед необхідно з'ясувати, чи підпадає організація під поняття «суб'єкт КВІ» і зробити це можна подивившись законодавство. Чи не знайшли себе, видихніть, у вас трохи менше головного болю.

Перший критерій - КВЕД організації. Класифікація видів економічної діяльності (КВЕД), вони, а їх може бути багато в одного підприємства, відкриваються в будь-який момент діяльності, тому актуальний список ви можете подивитися у виписці ЕГРЮЛ підприємства або інформаційно-довідкових сервісах «Контур Фокус», «Спарк» і пр. КВЕД явно вкаже, до якої сфери діяльності відноситься ваше підприємство і чи підпадає під перелік наступних галузей зазначених в ФЗ №-187:

• охорону здоров'я;
• наука;
• транспорт;
• зв'язок;
• енергетика;
• банківська сфера і інші фінансові сфери;
• паливно-енергетичний комплекс;
• область атомної енергії;
• оборонна промисловість;
• ракетно-космічна промисловість;
• гірничодобувна промисловість;
• металургійна промисловість;
• хімічна промисловість;
• юридично особи та / або ВП, які забезпечують взаємодію зазначених систем або мереж.

Якщо ваша організація відноситься до сфери охорони здоров'я (КВЕД 86), рекомендуємо для початку ознайомитися з цим матеріалом:

Другий критерій - ліцензії та інші дозвільні документи на різні види діяльності які відносяться до перерахованих вище сфер і які будуть у фокусі уваги згідно ФЗ №-187.

Третій критерій - установчі документи організацій, до них відносяться статути, положення організацій (якщо мова йде про державні органи), в яких може бути прописаний вид діяльності вказує на приналежність до критичних галузях.

Приклад з нашого досвіду проведення робіт з категорування. Компанія за основним видом економічної діяльності мала код КВЕД 46.73.6 «Торгівля оптова іншими будівельними матеріалами і виробами», на перший погляд ні чого особливого, до переліку галузей згідно ФЗ №-187 не потрапляє, і можна «спати спокійно». Але при детальному вивченні статуту і ліцензій на види діяльності виявилося, що у компанії є ліцензія на діяльність з перевезення вантажів залізничним транспортом та власний парк залізничного транспорту. Виходячи з даних обставин, підприємство відноситься до галузі «транспорт» і отже, необхідно виконувати вимоги ФЗ №-187.

Потрапили під один критерій з трьох? Вітаємо, ви суб'єкт КВІ! Але потрібно пам'ятати, що кожен випадок розбирається індивідуально і ця тема окремого обговорення, присвячена категоріювання об'єктів критичної інформаційної інфраструктури яку розглянемо в наступних статтях.

Нормативно-правовий акт чітко визначає, що «до суб'єктів критичної інформаційної інфраструктури відносяться державні органи та установи, а так само російські юридичні особи та / або індивідуальні підприємці яким на праві власності, оренди або на іншій законній підставі належать інформаційні системи, інформаційно-телекомунікаційні мережі , автоматизовані системи управління ».

У кожного суб'єкта КВІ є об'єкти КВІ:

• інформаційні системи;
• автоматизовані системи управління технологічними процесами;
• інформаційно-телекомунікаційні мережі.

що функціонують у сфері охорони здоров'я, науки, транспорту, зв'язку, енергетики, банківській сфері та інших сферах фінансового ринку, паливно-енергетичного комплексу, в області атомної енергії, оборонної, ракетно-космічної, гірничодобувної, металургійної та хімічної промисловості, російські юридичні особи та (або ) індивідуальні підприємці, які забезпечують взаємодію зазначених систем або мереж.

СУБ'ЄКТИ КВІ:

• Банківська сфера та інші сфери фінансового ринку
• Паливно-енергетичний комплекс
• атомна промисловість
• Військово-промисловий комплекс
• Ракетно-космічна промисловість
• Гірничодобувна промисловість
• металургійна промисловість
• Хімічна промисловість
• Наука, транспорт, зв'язок
• ЮЛ та ВП які взаємодіють з системами критичної інформаційної інфраструктури

ОБ'ЄКТИ КВІ:

• Інформаційні системи
• Інформаційно-телекомунікаційні мережі
• Автоматизовані системи управління технологічними процесами (АСУ ТП)

Об'єкти критичної інформаційної інфраструктури забезпечують функціонування управлінських, технологічних, виробничих, фінансово-економічних та інших процесів суб'єктів КВІ.

Процес визначення належності до суб'єкта критичної інформаційної інфраструктури не такий простий, як може здатися на перший погляд. Як ми говорили вище, є багато неочевидних факторів, які можуть впливати на результат, наприклад, відкриті додаткові, не основні, види діяльності за КВЕД або діючі ліцензії, які можуть віднести вас суб'єкту критичної інформаційної інфраструктури. Ми рекомендуємо провести більш детальне занурення в питання визначення приналежності до суб'єкта КВІ.

Надішліть нам запит, і ми БЕЗКОШТОВНО проконсультуємо вас з питань безпеки критичної інформаційної інфраструктури.

ЩО РОБИТИ ЯКЩО ВИ СУБ'ЄКТ КВІ?

З суб'єктом і об'єктом критичної інформаційної інфраструктури розібралися. Що необхідно зробити вам, як суб'єкту КВІ, далі?

Перший етап. Необхідно створити внутрішню комісію з категорування і визначити склад учасників з найбільш компетентних фахівців з вашим бізнес-процесів. Чому робиться акцент на бізнес-процеси і рівні компетенції учасників? Тільки «власник» бізнес-процесу знає всі нюанси, які можуть привести до їх порушення і подальшим негативним наслідкам. Цей власник або компетентне уповноважена особа повинен бути в складі комісії для присвоєння правильної категорії значущості процесу.

Другий етап. На цьому етапі збираються вихідні дані, проводиться передпроектну обстеження і на підставі отриманих даних, комісія приймає рішення про наявність переліку об'єктів критичної інформаційної інфраструктури, що підлягають категоріювання і привласнює категорію значимості. згідно Постановою Уряду РФ від 08.02.2018 N 127 «Про затвердження Правил категорирования об'єктів критичної інформаційної інфраструктури Російської Федерації, а також переліку показників критеріїв значущості об'єктів критичної інформаційної інфраструктури Російської Федерації і їх значень» категорій значущості три, 1-я найвища.

Категорії значущості присвоюються виходячи з показників критеріїв значимості, яких п'ять:

• соціальна;
• політична;
• економічна;
• екологічна;
• значимість для забезпечення оборони країни, безпеки держави і правопорядку.

На цьому етапі є один нюанс, після затвердження переліку об'єктів КВІ підлягають категоріювання, суб'єкт КВІ протягом 5 днів зобов'язаний сповістити про це ФСТЕК Росії. З цього моменту на проведення процедур категорирования відводиться максимум 1 рік. Якщо об'єкт КВІ не підпадає під один з показників критеріїв значущості, то у нього відсутня необхідність присвоєння категорії значущості, але тим не менш підприємство є суб'єктом КВІ у якого відсутні критично значимі об'єкти КВІ.

Результатом другого етапу є « Акт категорирования об'єкта КВІ », Який підписується членами комісії і затверджується керівником суб'єкта КВІ. Акт повинен містити повні відомості про об'єкт КВІ і зберігається суб'єктом до подальшого перегляду критеріїв значущості. З моменту підписання акта, суб'єкт КВІ протягом 10 днів надсилає відомості про результати категорирования по затвердженою формою в ФСТЕК Росії (на момент написання статті форма на стадії узгодження остаточного варіанту). Протягом 30 днів ФСТЕК перевіряє дотримання порядку і правильності категорирования і в разі позитивного висновку, вносить відомості до реєстру значущих об'єктів КВІ з наступним повідомленням суб'єкта КВІ в 10-ти денний термін.

Пройдіть експрес-тест і визначте категорію значимості ваших об'єктів КВІ. За результатом тесту ви отримаєте значення категорії об'єкта КВІ або її відсутність і корисний бонус.

Третій етап, заключний. Мабуть, один з найбільш трудомістких і дорогих - виконання вимог щодо забезпечення безпеки значущих об'єктів КВІ. Не будемо вдаватися зараз в деталі, а перерахуємо ключові стадії щодо забезпечення безпеки об'єктів КВІ:

• розробка технічного завдання;
• розробка моделі загроз інформаційній безпеці;
• розробка технічного проекту;
• розробка робочої документації;
• введення в дію.

ЩО БУДЕ ЯКЩО ЦЬОГО НЕ РОБИТИ?

Ми розглянули, хто такий суб'єкт критичної інформаційної інфраструктури, що таке об'єкт КВІ і які необхідно виконати дії для виконання вимог ФСТЕК. Тепер хотілося трохи поговорити про відповідальність, що виникає у разі невиконання вимог. згідно Указу Президента РФ від 25.11.2017 р №569 «Про внесення змін до Положення про Федеральну службу з технічного та експортного контролю, затверджене Указом Президента РФ від 16.08.2004 р №1085» федеральний орган виконавчої влади (ФОІВ), уповноважений в області забезпечення безпеки КВІ є ФСТЕК. Державний контроль в галузі забезпечення безпеки значущих об'єктів КВІ буде здійснювати ФСТЕК у вигляді планових та позапланових перевірок з наступним приписом в разі виявлених порушень. Планові перевірки проводяться:

• по закінченню 3-х років з дня внесення відомостей про об'єкт КВІ в реєстр;
• по закінченню 3-х років з дня здійснення останньої планової перевірки.

Позапланові перевірки будуть проводитися в разі:

• по закінченню терміну виконання суб'єктом КВІ приписи про усунення виявленого порушення;
• виникнення комп'ютерного інциденту, що призвів негативні наслідки;
• за дорученням Президента РФ або Уряду РФ, або на підставі вимоги Прокуратури РФ.

Якщо ФСТЕК виявить порушення, буде виписано припис з конкретним терміном усунення, який можна буде продовжити з поважних причин, а ось у випадку з Прокуратурою РФ буде все складніше, тому що вона прийде до вас вже з постановою про адміністративне правопорушення, посилаючись на статтю 19.5 ч.1 КпАП РФ про невиконання у встановлений термін постанови госнадзорного органу.

І ще трохи про заходи покарання, які були введені за недотримання вимог щодо забезпечення безпеки критичної інформаційної структури. згідно Федеральним законом від 26.07.2017 № 194-ФЗ «Про внесення змін до КК РФ і КПК РФ у зв'язку з прийняттям ФЗ« Про безпеку критичної інформаційної інфраструктури РФ »максимальна міра покарання, за порушення норм безпеки КВІ, становить позбавлення волі до 10 років. Мабуть, вагомий аргумент!

У подальших статтях ми більш детально розповімо про кожного з етапів виконання вимог ФСТЕК в області забезпечення безпеки критичної інформаційної інфраструктури. Підписуйтесь на повідомлення нашого сайті, приєднуйтесь до нас на Facebook і додавайте в закладки блог.

Александрін Яків,

Керівник з розвитку рішень,

Компанія «Інжиніринговий центр РЕГІОНАЛЬНІ СИСТЕМИ»

Заповніть опитувальний лист і протягом одного робочого дня ми з вами зв'яжемося і надамо Техніко-Комерційна пропозиція для вашої організації.

Зверніться в компанію «ДЦ РЕГІОНАЛЬНІ СИСТЕМИ»! В контексті вимог Федерального закону №-187 про безпеку критичної інформаційної інфраструктури фахівці компанії проведуть наступні види робіт:

• аудит існуючої інфраструктури;
• класифікацію наявних інформаційних активів;
• оцінку ризиків інформаційної безпеки;
• розробку моделі загроз інформаційній безпеці;
• проведення категорирования об'єктів критичної інформаційної інфраструктури;
• визначення рівня відповідності вимогам регуляторів щодо захисту інформації;
• розробку плану поетапної реалізації вимог законодавства щодо забезпечення безпеки об'єктів КВІ;
• формування бюджету на заходи щодо захисту інформації.

А так же, створять комплексну систему безпеки виробництва «під ключ», з огляду на архітектуру і специфіку вашого виробництва. Використовуючи кращі російські і світові практики по створенню систем безпеки знизять ризики і загрози бізнесу до мінімального рівня.

Обговорити питання безпеки вашого підприємства можна за наступними контактами:

- телефоном: 8 800 33 27 53

- поштою: [email protected]

- в чаті на сторінці

- в Messenger на нашій сторінці в Facebook

Матеріали по темі:

Компанія ТОВ «ДЦ РЕГІОНАЛЬНІ СИСТЕМИ» є провідним системним інтегратором ЮФО.
Основні напрямки діяльності Компанії в області інформаційної безпеки:

При реалізації проектів з інформаційної безпеки, ми пропонуємо комплексний підхід побудови систем захисту, враховуючи всі особливості специфіки діяльності підприємства. Кожен проект будується на основі аналізу всіх успішних і невдалих кіберінцідентов відбуваються в світі, а також на досвіді провідних розробників систем інформаційної безпеки.
Якщо у вас є сумніви з приводу надійності системи інформаційної безпеки вашого підприємства або ви вважаєте, що необхідно провести роботи по поліпшенню існуючої системи - звертайтеся!