Красноярск, ул. Алексеева, 49
ДЦ "Вертикали", оф. 7-15 (7 этаж)

Режим работы:
9:00 - 18:00
обед 13:00 - 14:00

(391) 285-71-58
(391) 285-61-36
(391) 285-68-21

187-ФЗ О безопасности критической информационной инфраструктуры

Часть 1. Общие положения

Статья 274.1 Уголовного Кодекса Российcкой Федерации ярко демонстрирует возможные масштабы последствий для государственных органов, юридических лиц, эксплуатирующих информационные системы, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, лиц, которые обеспечивают взаимодействие указанных систем или сетей. Приведенные поправки к Уголовному кодексу введены Федеральным законом от 26.07.2017 N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и вступили в законную силу с 1 января 2018 года. Очевидно, что Статья 274.1 УК РФ призвана зафиксировать ответственность в отношении неправомерного доступа и воздействия на критическую информационную инфраструктуру (далее - КИИ) как вероятных внешних и внутренних злоумышленников, так и должностных лиц, ответственных за эксплуатацию объектов КИИ. Положения Уголовного кодекса должны предопределять внимательное отношение должностных лиц субъектов КИИ к исполнению положений Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Что нужно сделать субъектам КИИ, чтобы обеспечить выполнение 187-ФЗ:

  • Провести категорирование объектов КИИ;
  • Обеспечить безопасность объектов КИИ;
  • Обеспечить взаимодействие объектов КИИ с ГосСОПКА.

Итак, рассмотрим как провести категорирование объектов КИИ.

Часть 2. Категорирование объекта КИИ

Нормативная база:

  • Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";
  • Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".

Правила категорирования объектов КИИ РФ

1 этап. Создание комиссии по категорированию.

В состав комиссии включаются работники субъекта КИИ:

  • руководитель, или уполномоченное им лицо;
  • специалисты в области осуществляемых видов деятельности субъекта КИИ;
  • специалисты в области информационных технологий и связи;
  • специалисты по эксплуатации технологического оборудования, промышленной безопасности, учету опасных веществ и материалов;
  • специалисты в области безопасности, в том числе информационной безопасности;
  • работники подразделения по защите государственной тайны, работники подразделения по ГО и ЧС.

2 этап. Формирование перечня объектов КИИ.

  • определение процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций субъекта КИИ;
  • выявление тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (Критические процессы);
  • определение объектов КИИ (информационных систем), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
  • формирование перечня объектов КИИ (информационных систем), подлежащих категорированию;

Важно! Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ.

Перечень объектов КИИ в течении 5 рабочих дней после утверждения направляется во ФСТЭК. Ждать согласования со стороны ФСТЭК на этом шаге не требуется.

3 этап. Категорирование объектов КИИ.

На этом этапе нужно оценить масштабы последствий в соответствии с перечнем показателей критериев значимости (утвержден ПП №127) и присвоить каждому из объектов КИИ одну из трех категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости.

Показатели критериев значимости разбиты на пять категорий:

Перечень показателей критериев значимости объектов КИИ

Максимальный срок категорирования - один год со дня утверждения перечня объектов. Решение комиссии по категорированию оформляется Актом. Акт хранится субъектом КИИ до вывода информационной системы из эксплуатации и должен содержать:

  • сведения об объекте КИИ;
  • результаты анализа угроз безопасности информации объекта КИИ;
  • реализованные меры по обеспечению безопасности объекта КИИ;
  • сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
  • сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями ФСТЭК (Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации").

4 этап. Направление сведений о категорировании во ФСТЭК.

В течении 10 дней со дня утверждения Акта, во ФСТЭК направляются следующие сведения (сведения и их содержание направляются по форме, утвержденной приказом ФСТЭК N 236 от 22.12.2017 г.):

  • сведения об объекте КИИ;
  • сведения о субъекте КИИ;
  • сведения о взаимодействии объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем объект КИИ;
  • сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);
  • сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ;
  • возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;
  • категория значимости объекта КИИ;
  • организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ.

Обратите внимание, поскольку во ФСТЭК направляются сведения о Категории нарушителя, актуальных угрозах безопасности, принятых организационных и технических мерах по обеспечению безопасности объекта КИИ, логичным будет предположить, что на момент отправки во ФСТЭК сведений, должны быть проведены работы по обеспечению безопасности значимого объекта КИИ. С другой стороны, если ФСТЭК не согласует присвоенную категорию, тогда придется дорабатывать систему защиты.

ФСТЭК в тридцатидневный срок со дня получения указанных сведений проверяет правильность присвоения категорий и в зависимости от правильности проведенного категорирования:

  • вносит в реестр сведения об объекте КИИ в реестр значимых объектов КИИ, о чем в десятидневный срок уведомляет субъекта КИИ;
  • отказывает во внесении в реестр в десятидневный срок с мотивированным обоснованием причин отказа.

5 этап. Изменение категории значимости.

Изменение категории значимости возможно:

  • по мотивированному решению ФСТЭК, принятому по результатам проверки;
  • в случае изменения объекта КИИ;
  • в связи с ликвидацией, реорганизацией субъекта КИИ и (или) изменением его организационно-правовой формы.

6 этап. Пересмотр установленной категории значимости.

Пересмотр осуществляется не реже чем один раз в пять лет. В случае изменений, сведения о результатах пересмотра направляются во ФСТЭК.