Аттестация критической информационной инфраструктуры (КИИ)

Опасности уязвимостей КИИ

В соответствии с Федеральным законом N 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», все социально значимые организации и предприятия обязаны надлежащим образом обеспечить защиту критической информационной инфраструктуры. В первую очередь речь идёт о защите от компьютерных атак. Эпидемии вирусов-шифровальщиков, парализовавшие работу сотен компаний по всему миру, в очередной раз подтвердили, что стабильность и бесперебойность рабочих процессов предприятия непосредственно зависит от функционирования его информационных систем.

За несоблюдение требований ФСТЭК по обеспечению защиты КИИ для владельцев информационных систем и ответственных должностных лиц предусмотрены следующие меры ответственности

  • до 6 лет лишения свободы за невыполнение требований по обеспечению безопасности КИИ «нарушение правил эксплуатации» и до 8 лет в случае «группы лиц по предварительному сговору»
  • За невыполнение требований по обеспечению безопасности КИИ в случае возникновения инцидента с тяжкими последствиями или угрозой таких последствий — до 10 лет лишения свободы.
Чтобы избежать административной и уголовной ответственности за нарушение правил эксплуатации значимых объектов критической информационной инфраструктуры, специалисты нашей компании создадут Вам комплексную систему защиты информации «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности наша организация снизит риски и угрозы для вашего бизнеса до минимального уровня. 

Какие компании являются субъектами КИИ

Субъектами КИИ, которыми согласно ФЗ №187 являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и функционирующие в определенных сферах экономической деятельности.

Говоря конкретно, защиту критической информационной инфраструктуры должны осуществлять государственные и коммерческие организации нижеперечисленных отраслей

Государственное управление
Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банки, финансы
Топливно-энергетический комплекс
Атомная энергетика
Оборонная промышленность
Ракетно-космическая промышленность
Горнодобывающая промышленность
Металлургия
Химическая промышленность

Схема нашей работы

Компания «Комрунет» оказывает весь комплекс услуг по защите КИИ «под ключ»:

  • Помощь в определении состава комиссии по категорированию объектов КИИ;

  • Определение и описание процессов обработки информации в информационных системах, информационно-телекоммуникационных сетях и автоматизированных системах управления;

  • Выявление критических процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также последствиям, значимым для обеспечения обороны страны, безопасности государства и правопорядка;

  • Определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов;

  • Помощь в формировании и утверждении перечня объектов КИИ;

  • Описание состава информации, обрабатываемой объектами КИИ;

  • Описание перечня программных и программно-аппаратных средств, используемых на объектах КИИ;

  • Помощь в присвоении каждому объекту КИИ одной из категорий значимости или принятие решения об отсутствии необходимости присвоения категорий значимости;

  • Подготовка проектов уведомлений в ФСТЭК России, содержащих сведения о результатах категорирования объектов КИИ.

В чём сложности защиты КИИ

Высокий уровень значимости защищаемых систем требует комплексного подхода к обеспечению информационной безопасности. На фоне появления всё новых и новых киберугроз даже самая совершенная система безопасности объекта КИИ не может дать полную гарантию отражения атак.

Для выполнения требований по защите КИИ систему обеспечения информационной безопасности потребуется серьезно изменить и расширить

  • К задаче потребуется привлекать не только специалистов по информационной безопасности, но и работников подразделений, эксплуатирующих объекты КИИ.

  • Необходимо будет учитывать требования нескольких регуляторов в области ИБ – ФСТЭК, ФСБ, отраслевых (ЦБ для банковского сектора, Минкомсвязи России для телеком-операторов).

  • Потребуется наладить постоянный мониторинг безопасности и своевременно извещать Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в случае обнаружения инцидентов ИБ.

  • Перечисленные шаги – неполные. Комплексная система защиты должна покрывать все элементы ИТ-инфраструктуры, обеспечивать высокий уровень надежности, а также иметь удобные механизмы управления и мониторинга.

    Реализация мер защиты в значимых объектах КИИ должны быть реализованы следующие организационные и технические меры

    • Идентификация и аутентификация
    • Управление доступом
    • Ограничение программной среды
    • Защита машинных носителей информации
    • Аудит безопасности
    • Антивирусная защита
    • Предотвращение вторжений
    • Обеспечение целостности
    • Обеспечение доступности
    • Защита информационной (автоматизированной) системы и ее компонентов
    • Планирование мероприятий по обеспечению безопасности
    • Управление конфигурацией
    • Управление обновлениями программного обеспечения
    • Реагирование на инциденты информационной безопасности
    • Обеспечение действий в нештатных ситуациях
    • Информирование и обучение персонала
    Для реализации итогового набора мер должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах сертификации (обязательно — в случаях, установленных законодательством Российской Федерации), испытаний или приемки (в иных случаях), проведенных субъектами КИИ самостоятельно или с привлечением специализированных организаций. При этом классы защиты, сертифицированные СрЗИ и используемые средства вычислительной техники (СВТ) должны подбираться в соответствии с категорией значимости объектов КИИ.


    Оставьте заявку и наш менеджер проконсультирует вас
    Name
    Email
    Phone
    Имя
    Телефон
    E-mail
    Даю своё согласие на законную обработку персональных данных.Правила обработки
    Спасибо, Ваша заявка отправлена!
    Позвоните нам!
    Ваш заказ готов к оформлению
    Личный кабинет
    Вам будет доступна история заказов, управление рассылками, свои цены и скидки для постоянных клиентов и прочее.
    Ваш логин
    Ваш пароль
    Работаем для вас пн-пт с 9:00 до 18:00
    г. Москва, ул. Барклая, д. 13, стр. 1
    Интернет-магазин Комрунет
    г. Москва, ул. Барклая, д.13, стр.1
    +74951059152sale@komrunet.ru