RU EN

Защита критической информационной инфраструктуры (КИИ)

Критическая информационная инфраструктура (КИИ) – совокупность автоматизированных систем правления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

В соответствии с Федеральным законом от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», следующие организации являются субъектами КИИ

 

 

 

 

 

 

 

 

Субъекту КИИ необходимо выполнить следующие требования ФЗ № 187

1.    Сформировать комиссию по категорированию объектов КИИ;

2.    Сформировать перечень объектов КИИ;

3.    Направить перечень объектов КИИ во ФСТЭК;

4.    Провести работы по категорированию объектов КИИ;

4.1.    Провести экспертно - документальный аудит защищенности объекта КИИ:

-        Инвентаризация процессов в рамках осуществления деятельности;

-        Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);

-        Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);

-        Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.

4.2.    Провести инструментальный анализ защищенности:

-        Определение активных служб/приложений на сканируемых ресурсах Заказчика;

-        Определение пути прохождения трафика и структуры сети;

-        Идентификация устройств, определение используемых операционных систем;

-        Применение техник обхода межсетевых экранов;

-        Поиск уязвимостей в конфигурациях коммутационного оборудования.

4.3.    Определить актуальные угрозы безопасности информации с разработкой моделей угроз безопасности информации:

-        Оценка возможностей внешних и внутренних нарушителей;

-        Анализ возможных уязвимостей и реализованных мер защиты;

-        Анализ возможных способов реализации угроз безопасности информации;

-        Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.

4.4.    Провести на основе полученных данных категорирование объектов КИИ:

-        Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;

-        Подготовка акта категорирования;

-        Подготовка формы направления сведений об объектах КИИ;

-        Направление формы направления сведений об объектах КИИ во ФСТЭК.

5.    Провести оценку соответствия мер по обеспечению ИБ объектов КИИ требованиям нормативно-методических и правовых документов:

-        Анализ используемых средств защиты;

-        Формирование адаптированного базового набора мер, на основании актуальных угроз;

-        Обоснование необходимости создания или модернизации существующей системы защиты.

6.    Проектирование и внедрение системы защиты:

-        Разработка технического задания;

-        Разработка документации технического проекта;

-        Стендовые испытания и пилотирование;

-        Внедрение средств защиты, их настройка и интеграция.

7.    Разработка и внедрение единых требований к обеспечению безопасности:

-        Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;

-        Внедрение организационных мер по обеспечению безопасности.

8.    Опытная эксплуатация системы защиты:

-        Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.

9.    Приемочные испытания:

-        Инструментальный анализ, включая тесты на проникновение;

-        Выявление уязвимостей значимого объекта и принятие мер по их устранению.

10.Обеспечение безопасности значимого объекта в ходе его эксплуатации:

-        Планирование мероприятий по обеспечению безопасности значимого объекта;

-        Периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;

-        Управление (администрирование) подсистемой безопасности значимого объекта;

-        Управление конфигурацией значимого объекта и его подсистемой безопасности;

-        Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;

-        Обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;

-        Информирование и обучение персонала значимого объекта;

-        Контроль за обеспечением уровня безопасности значимого объекта.

 

Категорирование объектов КИИ

1.    Начальный экспертно - документальный аудит защищенности объекта КИИ:

-        Инвентаризация процессов в рамках осуществления деятельности;

-        Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);

-        Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);

-        Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.

2.    Технический инструментальный анализ защищенности:

-        Определение активных служб/приложений на сканируемых ресурсах Заказчика;

-        Определение пути прохождения трафика и структуры сети;

-        Идентификация устройств, определение используемых операционных систем;

-        Применение техник обхода межсетевых экранов;

-        Поиск уязвимостей в конфигурациях коммутационного оборудования.

3.    Разработка моделей угроз безопасности информации:

-        Оценка возможностей внешних и внутренних нарушителей;

-        Анализ возможных уязвимостей и реализованных мер защиты;

-        Анализ возможных способов реализации угроз безопасности информации;

-        Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.

4.    Проведение категорирования объектов КИИ:

-        Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;

-        Подготовка акта категорирования;

-        Подготовка формы направления сведений об объектах КИИ;

-        Направление формы направления сведений об объектах КИИ во ФСТЭК.

 

Проектирование и внедрение систем защиты объектов КИИ

1.    Проектирование и внедрение системы защиты:

-        Разработка технического задания;

-        Разработка документации технического проекта;

-        Стендовые испытания и пилотирование;

-        Внедрение средств защиты, их настройка и интеграция.

2.    Разработка и внедрение единых требований к обеспечению безопасности:

-        Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;

-        Внедрение организационных мер по обеспечению безопасности.

3.    Опытная эксплуатация системы защиты:

-        Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.

4.    Приемочные испытания:

-        Инструментальный анализ, включая тесты на проникновение;

-        Выявление уязвимостей значимого объекта и принятие мер по их устранению.

 

Ответственность

Нарушение правил эксплуатации и причинение вреда КИИ - до 6 лет лишения свободы.

Нарушение правил эксплуатации и причинение вреда КИИ с тяжкими последствиями - до 10 лет лишения свободы.

 

Основные законодательные документы в области защиты КИИ

1.         Федеральный закон от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;

2.         Федеральный закон от 26.07.2017 г. №193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «о безопасности критической информационной инфраструктуры Российской Федерации»;

3.         Федеральный закон от 26.07.2017 г. №194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;

4.         Указ Президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

5.         Указ Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. №1085»;

6.         Указ Президента РФ от 22.12.2017 г.-№-620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;

7.         Указ Президента РФ от 12.12.2014 г. № К 1274 «О Концепции ГосСОПКА»;

8.         Указ Президента РФ от 02.03.2018 г. N 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203»;

9.         Постановление Правительства РФ от 08.02.2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;

10.     Постановление Правительства РФ от 17.02.2018 г. №162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;

11.     Постановление Правительства РФ от 11.07.2018 г. №808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса»;

12.     Приказ ФСТЭК России от 06.12.2017 г. №227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»;

13.     Приказ ФСТЭК России от 11.12.2017 г. №229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;

14.     Приказ ФСТЭК России от 21.12.2017 г. №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;

15.     Приказ ФСТЭК России от 22.12.2017 г. №236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;

16.     Приказ ФСТЭК России от 25.12.2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;

17.     Приказ ФСТЭК России от 26.04.2018 г. №72 «О внесении изменений в Регламент ФСТЭК»;

18.     Приказ ФСТЭК России от 09.08.2018 г. №138 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239»;

19.     Информационное сообщение ФСТЭК России от 25.07.2014 г. № 240-22-2748 «По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;

20.     Информационное сообщение ФСТЭК России от 04.05.2018 г. №240-22-2339 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ»;

21.     Информационное сообщение ФСТЭК России от 24.08.2018 г. №240-25-3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;

22.     Приказ ФСБ России от 24.07.2018 г. №366 «О Национальном координационном центре по компьютерным инцидентам»;

23.     Приказ ФСБ России от 24.07.2018 г. №367 «Об утверждении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы российской федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;

24.     Приказ ФСБ России от 24.07.2018 г. №368 «Об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры российской федерации, между субъектами критической информационной инфраструктуры российской федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и порядка получения субъектами критической информационной инфраструктуры российской федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;

25.     Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.;

26.     Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.

Заказать услугу: Защита критической информационной инфраструктуры (КИИ)

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.