Безопасность критической информационной инфраструктуры

Дата: 31.10.2020. Автор: Артем П. Категории: Прочее
Безопасность критической информационной инфраструктуры

Российские организации, которые работают в ряде отраслей (научная, транспортная, энергетическая, финансовая, топливно-энергетическая, атомная, оборонная, аэрокосмическая, горнодобывающая, химическая, металлургическая и др.) выступают в качестве субъектов критической информационной инфраструктуры.

Каждая такая организация обязана организовывать свою профессиональную деятельность таким образом, чтобы выполнялись требования по безопасности, прописанные в федеральном законодательство № 187 «О безопасности критической информационной инфраструктуры РФ».

Главным принципом обеспечения кибербезопасности субъектов такого типа является стойкость и беспрерывность работы КИИ в случаях, когда в их отношении проводятся компьютерные атаки. В той ситуации, если произойдет отказ системы, то остановится ряд бизнес- и технологических процессов, что с высокой долей вероятности станет причиной финансовых, репутационных потерь. В связи с этим субъекты КИИ в Российской Федерации обязаны заниматься обеспечением максимально высокого уровня надежности и отказоустойчивости своей системы безопасности, учитывая при этом нормы федерального законодательства, отраслевые стандарты в этом направлении.

Как обеспечивается безопасность критической информационной инфраструктуры?

Мероприятия, в рамках которых необходимо привести субъект критической информационной инфраструктуры в соответствие требованиям, прописанным в федеральном законодательстве №187, делятся на четыре последовательно реализуемых этапа:

  1. Установление категории значимости. На этом этапе анализируются вероятные угрозы в отношении конкретного КИИ, возможные нарушители безопасности, оцениваются вероятные последствия, если возникнут серьезные инциденты безопасности. Объект КИИ получает определённую категорию значимости.
  2. Работы по обеспечению безопасности. На этом этапе разрабатывается и выстраивается модель угроз, модель нарушителей безопасности, выполняется создание набора организационной и распорядительной документации. Эксперты подбирают меры, с помощью которых можно будет на высоком уровне и с соблюдением действующего законодательства обеспечивать должную степень безопасности объекта КИИ. Дополнительно выполняется разработка техзадания и техпроекта на формирование системы безопасности, с учетом которых осуществляется реализация последующего выстраивания системы обеспечения безопасности (интеграция выбранных решений, пусконаладочные работы по инсталляции требуемых средств защиты данных).
  3. Анализ уязвимостей. Экспертами анализируются уязвимости конкретного объекта КИИ. Эти мероприятия позволяют своевременно выявить слабые места в уже созданной и выстроенной системе обеспечения безопасности. Специалисты оценивают возможности эксплуатации обнаруженных уязвимостей и ошибок на вероятность того, что они будут применяться непосредственно для реализации угроз кибербезопасности объекта КИИ.
  4. Приемка созданной и проверенной системы безопасности объекта критической информационной инфраструктуры. Для проверки разработанной системы безопасности проводятся различные приемочные испытания. По результатам проверочных мероприятия выносится решение о том, соответствует ли созданная система безопасности законодательным, отраслевым стандартам.

Безопасность критической информационной инфраструктуры представлена в виде многостороннего комплексного процесса, в рамках которого обеспечивается бесперебойное и стойкое функционирование основных бизнес- и технологических процессов конкретной организации. При создании системы безопасности для КИИ проводятся мероприятия, реализация которых во время повседневной деятельности организации позволят защитить всю конфиденциальную информацию, не допустить проникновения киберпреступников во внутренние корпоративные сети. Особенное внимание уделяется защите автоматизированных систем управления технологическими процессами, а также информационных телекоммуникационных сетей.

При грамотном создании и реализации системы безопасности КИИ предприятие минимизирует риски приостановки производственных процессов из-за происходящих инцидентов безопасности, которые потенциально могут негативно сказаться на всей деятельности организации.

Какие ведомства отвечают за регулирование и надзор исполнения требования №187-ФЗ?

В Российской Федерации контроль над исполнением требований, прописанных в №187-ФЗ, осуществляются:

  • ФСТЭК России. Ведомство ответственно за контроль выполнения требований по категорированию объектов КИИ и обеспечению безопасности КИИ. Также ФСТЭК занимается ведением госреестра важных российских объектов КИИ. Сотрудниками ведомства осуществляются плановые, внеплановые проверки объектов КИИ на соответствие их деятельности в сфере обеспечения безопасности. В рамках своей деятельности ФСТЭК России также определяет требования обеспечения безопасности важных объектов КИИ.
  • ФСБ России. Ведомство выступает в качестве главного российского центра ГосСОПКА, им определяется порядок информирования об объектах КИИ и инцидентах безопасности, устанавливается объем и содержание предоставляемых данных. ФСБ несет ответственность за обеспечение инсталляции и монтажа на объектах критической информационной инфраструктуры техсредств для защиты, а также за установление требований к этим средствам. Сотрудниками ведомства оценивается уровень безопасности конкретных объектов КИИ.
Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *