Безопасность критической информационной инфраструктуры – комплексный процесс, подразумевающий проведение всех необходимых мероприятий, направленных на обеспечение устойчивого и беспрерывного функционирования наиболее важных бизнес- и производственных процессов организации, компании, госучреждения. Чтобы увеличить уровень устойчивости объектов КИИ к внешнему негативному воздействию, руководство предприятия должно реализовать комплекс мер, направленных на обеспечение кибербезопасности и защиты данных.
В России и других странах мира действует множество законов, приказов, нормативных документов, требований регуляторов, в соответствии с которыми и происходит обеспечение безопасности критической информационной инфраструктуры.
В соответствии с российским законодательством, к объектам КИИ относятся информационные системы и сети, автоматизированные системы управления, которые работают в следующих сферах деятельности:
- наука;
- медицина;
- транспорт;
- связь;
- атомная энергия;
- ТЭК;
- финансовый рынок, банки;
- энергетика;
- оборонная промышленность;
- ракетно-космическая промышленность;
- химическая, металлургическая, горнодобывающая промышленность.
Объекты КИИ, сети электросвязи, которые применяются для организации взаимодействия между ними, составляют понятие КИИ.
Правовое регулирование
В качестве основной законодательно-нормативной документации в России, которая регулирует сферу обеспечения безопасности КИИ, выступают следующие документы:
- 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ».
- Приказ ФСТЭК №235 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».
- Правительственное постановление №162 «Об утверждении правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».
- Правительственное постановление №127 «Об утверждении правил категорирования объектов КИИ РФ, перечня показателей критериев значимости объектов КИИ РФ и их значений».
- Приказ ФСТЭК №31 «Об утверждении требований к обеспечению защиты информации в АСУ ТП на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
В качестве основной цели обеспечения безопасности КИИ выступает устойчивое функционирование КИИ в случае проведения в её отношении кибератак. Важным принципом обеспечения безопасности является недопущение подобных воздействий в киберпространстве и защита от них.
Под требования указанных выше нормативных актов попадают организации, предприятия, ИП, госучреждения, которые владеют (на различных правах собственности, аренды и т. п.) объектом КИИ, либо которые обеспечивают взаимодействие таких объектов. С законодательной точки зрения, организации такого типа именуются субъектами КИИ.
Для выполнения требований российского законодательства субъекты КИИ обязаны выполнить категорирование объектов КИИ, реализовать организационно-технические меры обеспечения безопасности важных объектов КИИ, обеспечить взаимодействием с ГосСОПКА.
Что необходимо для обеспечения безопасности объектов КИИ?
Для объектов КИИ, которые не являются значимыми, обязательно необходимо обеспечить исключительно взаимодействие с НКЦКИ (Национальный координационный центр по компьютерным инцидентам) и интеграцию с ГосСОПКА. Все другие виды мероприятий, направленных на обеспечение безопасности организации, могут быть реализованы с учетом требований и пожеланий руководства субъекта КИИ.
Если объект КИИ является значимым, то кроме интеграции с ГосСОПКА субъекты КИИ обязаны:
- разработать систему безопасности значимого объекта КИИ;
- обеспечить оперативное реагирование на инциденты информационной безопасности;
- предоставлять на объект КИИ полный доступ представителям регулятором (в том числе и дистанционный), выполнить их предписания по итогам проведенных плановых и внеплановых проверок.
В качестве госоргана, который обеспечивает контроль выполнения требований законодательства об объектах КИИ, выступает ФСТЭК России. Ведомство несёт ответственность за ведение реестра значимых объектов КИИ, создание и госконтроль реализации требований по обеспечению их безопасности. Регламент государственного контроля в сфере обеспечения безопасности значимых объектов КИИ установлен правительственный постановлением №162.
Со стороны ФСБ России обеспечивается регулирование и координирование работы субъектов КИИ в сфере формирования сил и средств ОПЛ КА, выполняет сбор данных об инцидентах кибербезопасности и об оценке безопасности КИИ, разработка требований к средствам ОПЛ КА.
В некоторых случаях, когда они относятся к решению вопросов по сетям электросвязи и субъектов КИИ в финансовой и банковских сферах, создаваемые ФСБ и ФСТЭК положения в отношении объектов КИИ должны быть согласованы в Банком России и Минцифры РФ.