В соответствии с Федеральным законом N 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», все социально значимые организации и предприятия обязаны надлежащим образом обеспечить защиту критической информационной инфраструктуры. В первую очередь речь идёт о защите от компьютерных атак. Эпидемии вирусов-шифровальщиков, парализовавшие работу сотен компаний по всему миру, в очередной раз подтвердили, что стабильность и бесперебойность рабочих процессов предприятия непосредственно зависит от функционирования его информационных систем.
За несоблюдение требований ФСТЭК по обеспечению защиты КИИ для владельцев информационных систем и ответственных должностных лиц предусмотрены следующие меры ответственности
до 6 лет лишения свободы за невыполнение требований по обеспечению безопасности КИИ «нарушение правил эксплуатации» и до 8 лет в случае «группы лиц по предварительному сговору»
За невыполнение требований по обеспечению безопасности КИИ в случае возникновения инцидента с тяжкими последствиями или угрозой таких последствий — до 10 лет лишения свободы.
Чтобы избежать административной и уголовной ответственности за нарушение правил эксплуатации значимых объектов критической информационной инфраструктуры, специалисты нашей компании создадут Вам комплексную систему защиты информации «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности наша организация снизит риски и угрозы для вашего бизнеса до минимального уровня.
Какие компании являются субъектами КИИ
Субъектами КИИ, которыми согласно ФЗ №187 являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и функционирующие в определенных сферах экономической деятельности.
Говоря конкретно, защиту критической информационной инфраструктуры должны осуществлять государственные и коммерческие организации нижеперечисленных отраслей
Государственное управление
Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банки, финансы
Топливно-энергетический комплекс
Атомная энергетика
Оборонная промышленность
Ракетно-космическая промышленность
Горнодобывающая промышленность
Металлургия
Химическая промышленность
Схема нашей работы
Компания «Комрунет» оказывает весь комплекс услуг по защите КИИ «под ключ»:
Помощь в определении состава комиссии по категорированию объектов КИИ;
Определение и описание процессов обработки информации в информационных системах, информационно-телекоммуникационных сетях и автоматизированных системах управления;
Выявление критических процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также последствиям, значимым для обеспечения обороны страны, безопасности государства и правопорядка;
Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов;
Помощь в формировании и утверждении перечня объектов КИИ;
Описание состава информации, обрабатываемой объектами КИИ;
Описание перечня программных и программно-аппаратных средств, используемых на объектах КИИ;
Помощь в присвоении каждому объекту КИИ одной из категорий значимости или принятие решения об отсутствии необходимости присвоения категорий значимости;
Подготовка проектов уведомлений в ФСТЭК России, содержащих сведения о результатах категорирования объектов КИИ.
Высокий уровень значимости защищаемых систем требует комплексного подхода к обеспечению информационной безопасности. На фоне появления всё новых и новых киберугроз даже самая совершенная система безопасности объекта КИИ не может дать полную гарантию отражения атак.
Для выполнения требований по защите КИИ систему обеспечения информационной безопасности потребуется серьезно изменить и расширить
К задаче потребуется привлекать не только специалистов по информационной безопасности, но и работников подразделений, эксплуатирующих объекты КИИ.
Необходимо будет учитывать требования нескольких регуляторов в области ИБ – ФСТЭК, ФСБ, отраслевых (ЦБ для банковского сектора, Минкомсвязи России для телеком-операторов).
Потребуется наладить постоянный мониторинг безопасности и своевременно извещать Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в случае обнаружения инцидентов ИБ.
Перечисленные шаги – неполные. Комплексная система защиты должна покрывать все элементы ИТ-инфраструктуры, обеспечивать высокий уровень надежности, а также иметь удобные механизмы управления и мониторинга.
Реализация мер защиты в значимых объектах КИИ должны быть реализованы следующие организационные и технические меры
Планирование мероприятий по обеспечению безопасности
Управление конфигурацией
Управление обновлениями программного обеспечения
Реагирование на инциденты информационной безопасности
Обеспечение действий в нештатных ситуациях
Информирование и обучение персонала
Для реализации итогового набора мер должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах сертификации (обязательно — в случаях, установленных законодательством Российской Федерации), испытаний или приемки (в иных случаях), проведенных субъектами КИИ самостоятельно или с привлечением специализированных организаций. При этом классы защиты, сертифицированные СрЗИ и используемые средства вычислительной техники (СВТ) должны подбираться в соответствии с категорией значимости объектов КИИ.