В соответствии с 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 организациям и предприятиям необходимо определить и защищать критичные системы, функционирующие в следующих сферах:
Под требования законодательства попадают следующие виды систем (объекты критической информационной инфраструктуры):
- информационные системы,
- автоматизированные системы управления,
- информационно-телекоммуникационные сети.
Этапы выполнения требований законодательства КИИ :
- Определить системы (объекты критической информационной инфраструктуры), обслуживающие критические процессы в организации/предприятии, с направлением перечня в ФСТЭК России;
- Осуществить категорирование объектов КИИ с направлением результатов в ФСТЭК России;
- Защищать значимые объекты КИИ по требованиям безопасности КИИ.
Порядок категорирования установлен Постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", который можно отобразить следующим алгоритмом действий:
Установлена административная ответственность за нарушения требований и непредставление сведений, предусмотренных законодательством, до 500 000 рублей (статьи 13.12.1 и 19.7.15 КоАП РФ).
Установлена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру РФ (статья 274.1 УК РФ).
Выполнение требований 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 для организаций и предприятий причастных к критической информационной инфраструктуре РФ:
- Определение объектов КИИ, принадлежность к субъектам КИИ;
- Информирование ФСТЭК России об объектах КИИ, подлежащих категорированию;
- Категорирование объектов КИИ, оформление необходимого набора документации;
- Проектирование и внедрение систем защиты значимых объектов КИИ;
- Обучение работников (повышение квалификации в области обработки и защиты информации);
- Обеспечение непрерывной защиты систем КИИ и недопущение компьютерных атак на них;
- Поддержка в вопросах информирования о произошедших с объектом КИИ инцидентах информационной безопасности;
- Поддержка в вопросах реагирования и ликвидации последствий компьютерных инцидентов.