Критическая информационная инфраструктура (КИИ) — объекты, от работы которых зависит безопасность государства. Разбираем, какие организации подпадают под 187-ФЗ, какие меры защиты обязательны и с чего начать категорирование.
Критическая информационная инфраструктура (КИИ) — информационные системы, сети и базы данных, нарушение работы которых угрожает безопасности государства, экономике или гражданам. Федеральный закон № 187-ФЗ обязывает операторов КИИ внедрять меры защиты, уведомлять о киберинцидентах и проходить категорирование. Под действие закона попадают организации в 15 отраслях: энергетика, транспорт, здравоохранение, финансы, госсектор и другие.
Защита КИИ является ключевым элементом информационной безопасности страны, поскольку любые нарушения в их работе могут привести к серьезным последствиям для всего общества.
187-ФЗ — Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон был принят для защиты важнейших объектов информационной инфраструктуры страны и регулирования мер безопасности в отношении КИИ.
Узнайте, как правильно потратить бюджет на информационную безопасность
Пришлем ссылку на гайд о стоимости ИБ-решений ответным письмом на почту, которую вы указали.
Основные понятия и цели закона
КИИ охватывает все сферы жизнедеятельности, которые имеют критическое значение для функционирования государства. К таким объектам относятся:
-
Энергетическая система: электростанции, подстанции, линии передачи электроэнергии.
-
Транспортная инфраструктура: системы управления воздушным движением, железнодорожные системы, морские и речные порты.
-
Системы здравоохранения: медицинские информационные системы, базы данных, содержащие персональные данные граждан.
-
Системы водоснабжения и водоотведения: водоочистные и водонасосные станции.
-
Государственные информационные ресурсы: системы, с помощью которых осуществляется управление государственными учреждениями, полиции, армии, органов налоговой и миграционной службы.
Цель закона — обеспечить безопасность данных и систем, минимизировать риски утечек информации, предотвратить кибератаки, а также оперативно устранять последствия возможных инцидентов.
Какие организации попадают под требования 187-ФЗ?
187-ФЗ касается всех организаций, работающих с КИИ. Закон налагает на них обязательства по защите данных и инцидентам, связанным с возможными нарушениями безопасности. К субъектам КИИ, относятся юридические лица,у которых в ОКВЭД или лицензиях указана деятельность в одной из следующих сфер:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные финансовые сферы;
- топливно-энергетический комплекс;
- область атомной энергии;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность;
- сфера государственной регистрации недвижимости
- юридические лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Основные требования 187-ФЗ
Закон устанавливает жесткие требования для операторов КИИ:
Уведомление о компьютерных инцидентах. Субъекты критической информационной инфраструктуры (КИИ) обязаны уведомлять о компьютерных атаках и компьютерных инцидентах, федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Планирование мероприятий по защите информации. Все организации, работающие с КИИ, должны разрабатывать и внедрять внутренние системы защиты, проводить регулярные проверки безопасности и тесты на уязвимости.
Мониторинг и анализ рисков. Обязанность по регулярному мониторингу безопасности и анализу рисков нарушений информационной безопасности ложится на руководителей организаций. Также требуются постоянные обновления системы защиты от новых угроз и атак.
Контроль и реагирование на инциденты. В случае инцидента, организации обязаны не только немедленно принять меры для ликвидации угрозы, но и провести расследование, выяснив причины нарушения безопасности и устранить последствия.
Какие СЗИ подходят для КИИ? Читайте в статье.
Использование современных технологий защиты. Операторы КИИ обязаны использовать современные технологии и системы защиты данных, например, системы криптографической защиты, средства защиты от кибератак, системы аутентификации и контроля доступа.
Ответственность за нарушение требований 187-ФЗ
Несоблюдение норм 187-ФЗ может привести к серьезным последствиям для организаций. Штрафы для юридических лиц могут составлять от 50 тыс. до 500 тыс рублей в зависимости от характера нарушения.В случае наступления инцидента с тяжкими последствиями до 10 лет лишения свободы (УК РФ ст. 274.1)
Какие штрафы ждут за нарушение нормативных актов в сфере ИБ? Читайте в статье.
С чего начать работы по КИИ
-
Создать комиссию по категорированию.
-
Составить перечень процессов юридического лица, из которых выделяются критические.
Критические процессы — это бизнес-процессы, относящиеся к одной из 15 сфер, нарушение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка
-
Составить список объектов КИИ, имеющихся у юридического лица.
Объекты критической информационной инфраструктуры — информационные системы (CRM, бухгалтерские системы), информационно-телекоммуникационные сети (локальные сети), автоматизированные системы управления субъектов критической информационной инфраструктуры (АСУ ТП, ЧПУ, МРТ, КТ, ИВЛ итд).Если объекты КИИ задействованы в критических процессах, то необходимо провести их категорирование
-
Провести сверку списка объектов организации с типовым отраслевым перечнем объектов КИИ
-
Провести категорирование на основании перечня показателей критериев значимости
-
Сведения о результатах категорирования в 10-дневный срок должны быть направлены во ФСТЭК
Объекты КИИ, которым присвоены категории значимости (ЗОКИИ), нуждаются в особой защите. Для этого необходимо разработать комплекс мероприятий, включающий в себя разработку документации, внедрение технических средств защиты и другие меры.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Коротко о 187-ФЗ в вопросах и ответах
Какие организации обязаны выполнять 187-ФЗ?
Юрлица и ИП, чья деятельность относится к одной из 15 сфер (энергетика, транспорт, здравоохранение, финансы, госсектор и др.) и которые эксплуатируют объекты КИИ.
Что такое категорирование КИИ?
Процедура оценки значимости объекта КИИ по критериям ФСТЭК. Результат — присвоение категории (1–3) или вывод из-под действия закона.
Какие штрафы предусмотрены за нарушение 187-ФЗ?
Для юрлиц: от 50 000 до 500 000 ₽; при тяжких последствиях — уголовная ответственность до 10 лет (ст. 274.1 УК РФ).
Можно ли использовать облачные сервисы для КИИ?
Да, при условии, что провайдер имеет сертификаты ФСТЭК, данные хранятся в РФ, а договор предусматривает разграничение ответственности.
Нужно ли сертифицировать все средства защиты?
Да, для объектов КИИ обязательны СЗИ, имеющие действующие сертификаты ФСТЭК России.