Защита критической информационной инфраструктуры

В соответствии с 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 организациям и предприятиям необходимо определить и защищать критичные системы, функционирующие в следующих сферах:

Алгоритм категорирования объектов КИИ для субъектов КИИ

Под требования законодательства попадают следующие виды систем (объекты критической информационной инфраструктуры):

  • информационные системы,
  • автоматизированные системы управления,
  • информационно-телекоммуникационные сети.

Этапы выполнения требований законодательства КИИ :

  1. Определить системы (объекты критической информационной инфраструктуры), обслуживающие критические процессы в организации/предприятии, с направлением перечня в ФСТЭК России;
  2. Осуществить категорирование объектов КИИ с направлением результатов в ФСТЭК России;
  3. Защищать значимые объекты КИИ по требованиям безопасности КИИ.

Установлена административная ответственность за нарушения требований и непредставление сведений, предусмотренных законодательством, до 500 000 рублей (статьи 13.12.1 и 19.7.15 КоАП РФ).

Установлена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру РФ (статья 274.1 УК РФ).

Выполнение требований 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 для организаций и предприятий причастных к критической информационной инфраструктуре РФ:

  • Определение объектов КИИ, принадлежность к субъектам КИИ;
  • Информирование ФСТЭК России об объектах КИИ, подлежащих категорированию;
  • Категорирование объектов КИИ, оформление необходимого набора документации;
  • Проектирование и внедрение систем защиты значимых объектов КИИ;
  • Обучение работников (повышение квалификации в области обработки и защиты информации);
  • Обеспечение непрерывной защиты систем КИИ и недопущение компьютерных атак на них;
  • Поддержка в вопросах информирования о произошедших с объектом КИИ инцидентах информационной безопасности;
  • Поддержка в вопросах реагирования и ликвидации последствий компьютерных инцидентов.