О безопасности критической информационной инфраструктуры

Дата: 03.05.2022. Автор: Артем П. Категории: Прочее
О безопасности критической информационной инфраструктуры
Изображение: olieman.eth (unsplash)

Безопасность критической информационной инфраструктуры – комплексный процесс, подразумевающий проведение всех необходимых мероприятий, направленных на обеспечение устойчивого и беспрерывного функционирования наиболее важных бизнес- и производственных процессов организации, компании, госучреждения. Чтобы увеличить уровень устойчивости объектов КИИ к внешнему негативному воздействию, руководство предприятия должно реализовать комплекс мер, направленных на обеспечение кибербезопасности и защиты данных.

В России и других странах мира действует множество законов, приказов, нормативных документов, требований регуляторов, в соответствии с которыми и происходит обеспечение безопасности критической информационной инфраструктуры.

В соответствии с российским законодательством, к объектам КИИ относятся информационные системы и сети, автоматизированные системы управления, которые работают в следующих сферах деятельности:

  • наука;
  • медицина;
  • транспорт;
  • связь;
  • атомная энергия;
  • ТЭК;
  • финансовый рынок, банки;
  • энергетика;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • химическая, металлургическая, горнодобывающая промышленность.

Объекты КИИ, сети электросвязи, которые применяются для организации взаимодействия между ними, составляют понятие КИИ.

Правовое регулирование

В качестве основной законодательно-нормативной документации в России, которая регулирует сферу обеспечения безопасности КИИ, выступают следующие документы:

  • 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Приказ ФСТЭК №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ».
  • Приказ ФСТЭК №235 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».
  • Правительственное постановление №162 «Об утверждении правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».
  • Правительственное постановление №127 «Об утверждении правил категорирования объектов КИИ РФ, перечня показателей критериев значимости объектов КИИ РФ и их значений».
  • Приказ ФСТЭК №31 «Об утверждении требований к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

В качестве основной цели обеспечения безопасности КИИ выступает устойчивое функционирование КИИ в случае проведения в её отношении кибератак. Важным принципом обеспечения безопасности является недопущение подобных воздействий в киберпространстве и защита от них.

Под требования указанных выше нормативных актов попадают организации, предприятия, ИП, госучреждения, которые владеют (на различных правах собственности, аренды и т. п.) объектом КИИ, либо которые обеспечивают взаимодействие таких объектов. С законодательной точки зрения, организации такого типа именуются субъектами КИИ.

Для выполнения требований российского законодательства субъекты КИИ обязаны выполнить категорирование объектов КИИ, реализовать организационно-технические меры обеспечения безопасности важных объектов КИИ, обеспечить взаимодействием с ГосСОПКА.

Что необходимо для обеспечения безопасности объектов КИИ?

Для объектов КИИ, которые не являются значимыми, обязательно необходимо обеспечить исключительно взаимодействие с НКЦКИ (Национальный координационный центр по компьютерным инцидентам) и интеграцию с ГосСОПКА. Все другие виды мероприятий, направленных на обеспечение безопасности организации, могут быть реализованы с учетом требований и пожеланий руководства субъекта КИИ.

Если объект КИИ является значимым, то кроме интеграции с ГосСОПКА субъекты КИИ обязаны:

  • разработать систему безопасности значимого объекта КИИ;
  • обеспечить оперативное реагирование на инциденты информационной безопасности;
  • предоставлять на объект КИИ полный доступ представителям регулятором (в том числе и дистанционный), выполнить их предписания по итогам проведенных плановых и внеплановых проверок.

В качестве госоргана, который обеспечивает контроль выполнения требований законодательства об объектах КИИ, выступает ФСТЭК России. Ведомство несёт ответственность за ведение реестра значимых объектов КИИ, создание и госконтроль реализации требований по обеспечению их безопасности. Регламент государственного контроля в сфере обеспечения безопасности значимых объектов КИИ установлен правительственный постановлением №162.

Со стороны ФСБ России обеспечивается регулирование и координирование работы субъектов КИИ в сфере формирования сил и средств ОПЛ КА, выполняет сбор данных об инцидентах кибербезопасности и об оценке безопасности КИИ, разработка требований к средствам ОПЛ КА.

В некоторых случаях, когда они относятся к решению вопросов по сетям электросвязи и субъектов КИИ в финансовой и банковских сферах, создаваемые ФСБ и ФСТЭК положения в отношении объектов КИИ должны быть согласованы в Банком России и Минцифры РФ.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.