Защищенность объектов критической инфраструктуры – важнейший вопрос, касающийся большого количества российских компаний. Во всем мире фиксируются попытки осуществления целенаправленных и всё более изощренных кибератак на объекты КИИ и на это важно обращать внимание. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современных условиях играют важнейшую роль.
Основные понятия
В июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. В нем даны определения основных понятий касаемо критической информационной инфраструктуры и описание процесса защищённости систем.
Под критической информационной инфраструктурой (или КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия.
Субъектами КИИ являются компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ.
Объект КИИ – информационные системы, информационно -телекоммуникационные сети и автоматизированные системы управления, принадлежащие субъекту КИИ.
Компьютерная атака на объекты критической информационной инфраструктуры определяется как целенаправленное вредоносное воздействие для нарушения или прекращения их функционирования, а компьютерный инцидент — как факт нарушения или прекращения функционирования объекта и/или нарушения безопасности обрабатываемой объектом информации.
Категорирование объектов КИИ
Важнейшим этапом установления защиты является категорирование объектов КИИ. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:
1. Создание комиссии по категорированию объектов КИИ.
2. Составление перечня объектов КИИ.
3. Согласование перечня объектов КИИ и его отправка в ФСТЭК.
4. Сбор исходных данных для категорирования.
5. Анализ угроз безопасности.
6. Непосредственно само категорирование объектов КИИ.
7. Отправка сведений о результатах категорирования во ФСТЭК.
Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области информационной безопасности.
Ответственность за нарушения
Стоит помнить, что за нарушение законодательства по защите объектов КИИ следуют различные меры ответственности в зависимости от тяжести нарушения:
- до 10 лет лишения свободы за невыполнение требований по безопасности КИИ, в случае наступления инцидента с тяжкими последствиями или их угрозой;
- до 6 лет лишения свободы за невыполнение требований по безопасности КИИ, нарушение правил эксплуатации;
- до 20 000 рублей административный штраф в случае невыполнения предписания регулятора об устранении нарушения законодательства.
С 2021 года вступил в силу ряд изменений касаемо мер ответственности. Так с 06.06.2021 года наказание последует, если:
— не переданы во ФСТЭК сведения о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно;
— не соблюден порядок уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ;
— нарушить нарушены правила обмена информацией об инцидентах.
В первом случае штраф для организаций составит от 50 тыс. до 100 тыс. руб., в остальных — от 100 тыс. до 500 тыс. руб. Максимальный штраф для должностных лиц по таким нарушениям — 50 тыс. руб.
С 1 сентября 2021 года введены штрафы за нарушение требований к созданию и обеспечению работы систем безопасности объекта КИИ, а так же к обеспечению безопасности этих объектов в целом. Если нет признаков уголовного преступления, то штрафы на должностные лица составят от 10 тыс. до 50 тыс. руб., на организации — от 50 тыс. до 100 тыс. руб.
Срок давности привлечения к ответственности за все эти нарушения составляет 1 год.
Например, вы не установили антивирус и вашу сеть взломали. В результате этого персональные данные, которые вы храните или обрабатываете, попали в сеть. В лучшем случае вы получите штраф до 100 тыс. руб., а если вы не сообщили об этом инциденте, то размер штрафа составит до 500 тыс.
Как же точно выполнить все условия законодательства и грамотно организовать защиту объектов КИИ? По опыту работы с уверенностью заявляем – обратиться в организацию, которая специализируется на таких работах и ИТ-безопасности в целом. И мы как раз являемся таковыми!
Мы поможем Вам в реализации требований законодательства и проведем следующие работы:
— обследуем объекты предприятия-заказчика и поможем выявить среди них потенциально значимые объекты критической информационной инфраструктуры, представляющие ценность для производственного процесса;
— составим модель потенциального нарушителя безопасности КИИ
и предскажем его возможности;
— определим возможные каналы утечки конфиденциальной информации;
— сформируем дорожную карту работ по достижению соответствия требованиям 187-ФЗ;
— подберём и поставим необходимые средства защиты для объектов КИИ в соответствии
с текущими требованиями руководящих документов;
— окажем поддержу и помощь в развитии системы защиты КИИ на каждом из этапов внедрения.
