RU EN

Защита критической информационной инфраструктуры (КИИ)

Критическая информационная инфраструктура (КИИ) – совокупность автоматизированных систем правления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

В соответствии с Федеральным законом от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации, следующие организации являются субъектами КИИ

Защита критической информационной инфраструктуры (КИИ) (схема) (инфографика)

Субъекту КИИ необходимо выполнить следующие требования ФЗ № 187

  1. Сформировать комиссию по категорированию объектов КИИ;
  2. Сформировать перечень объектов КИИ;
  3. Направить перечень объектов КИИ во ФСТЭК;
  4. Провести работы по категорированию объектов КИИ;
    1. Провести экспертно - документальный аудит защищенности объекта КИИ:
      • Инвентаризация процессов в рамках осуществления деятельности;
      • Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);
      • Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
      • Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.
    2. Провести инструментальный анализ защищенности:
      • Определение активных служб/приложений на сканируемых ресурсах Заказчика;
      • Определение пути прохождения трафика и структуры сети;
      • Идентификация устройств, определение используемых операционных систем;
      • Применение техник обхода межсетевых экранов;
      • Поиск уязвимостей в конфигурациях коммутационного оборудования.
    3. Определить актуальные угрозы безопасности информации с разработкой моделей угроз безопасности информации:
      • Оценка возможностей внешних и внутренних нарушителей;
      • Анализ возможных уязвимостей и реализованных мер защиты;
      • Анализ возможных способов реализации угроз безопасности информации;
      • Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.
    4. Провести на основе полученных данных категорирование объектов КИИ:
      • Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
      • Подготовка акта категорирования;
      • Подготовка формы направления сведений об объектах КИИ;
      • Направление формы направления сведений об объектах КИИ во ФСТЭК.
  5. Провести оценку соответствия мер по обеспечению ИБ объектов КИИ требованиям нормативно-методических и правовых документов:
    • Анализ используемых средств защиты;
    • Формирование адаптированного базового набора мер, на основании актуальных угроз;
    • Обоснование необходимости создания или модернизации существующей системы защиты.
  6. Проектирование и внедрение системы защиты:
    • Разработка технического задания;
    • Разработка документации технического проекта;
    • Стендовые испытания и пилотирование;
    • Внедрение средств защиты, их настройка и интеграция.
  7. Разработка и внедрение единых требований к обеспечению безопасности:
    • Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
    • Внедрение организационных мер по обеспечению безопасности.
  8. Опытная эксплуатация системы защиты:
    • Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.
  9. Приемочные испытания:
    • Инструментальный анализ, включая тесты на проникновение;
    • Выявление уязвимостей значимого объекта и принятие мер по их устранению.
  10. Обеспечение безопасности значимого объекта в ходе его эксплуатации:
    • Планирование мероприятий по обеспечению безопасности значимого объекта;
    • Периодический анализ угроз безопасности информации в значимом объекте и рисков от их реализации;
    • Управление (администрирование) подсистемой безопасности значимого объекта;
    • Управление конфигурацией значимого объекта и его подсистемой безопасности;
    • Реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
    • Обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации значимого объекта;
    • Информирование и обучение персонала значимого объекта;
    • Контроль за обеспечением уровня безопасности значимого объекта.

Категорирование объектов КИИ

  1. Начальный экспертно - документальный аудит защищенности объекта КИИ:
    • Инвентаризация процессов в рамках осуществления деятельности;
    • Выявление критичных процессов и определение объектов критической информационной инфраструктуры (КИИ);
    • Сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
    • Сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.
  2. Технический инструментальный анализ защищенности:
    • Определение активных служб/приложений на сканируемых ресурсах Заказчика;
    • Определение пути прохождения трафика и структуры сети;
    • Идентификация устройств, определение используемых операционных систем;
    • Применение техник обхода межсетевых экранов;
    • Поиск уязвимостей в конфигурациях коммутационного оборудования.
  3. Разработка моделей угроз безопасности информации:
    • Оценка возможностей внешних и внутренних нарушителей;
    • Анализ возможных уязвимостей и реализованных мер защиты;
    • Анализ возможных способов реализации угроз безопасности информации;
    • Анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.
  4. Проведение категорирования объектов КИИ:
    • Установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
    • Подготовка акта категорирования;
    • Подготовка формы направления сведений об объектах КИИ;
    • Направление формы направления сведений об объектах КИИ во ФСТЭК.

Проектирование и внедрение систем защиты объектов КИИ

  1. Проектирование и внедрение системы защиты:
    • Разработка технического задания;
    • Разработка документации технического проекта;
    • Стендовые испытания и пилотирование;
    • Внедрение средств защиты, их настройка и интеграция.
  2. Разработка и внедрение единых требований к обеспечению безопасности:
    • Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
    • Внедрение организационных мер по обеспечению безопасности.
  3. Опытная эксплуатация системы защиты:
    • Подтверждение соответствия значимого объекта и его подсистемы безопасности разработанным требованиям и мерам.
  4. Приемочные испытания:
    • Инструментальный анализ, включая тесты на проникновение;
    • Выявление уязвимостей значимого объекта и принятие мер по их устранению.

Ответственность

Нарушение правил эксплуатации и причинение вреда КИИ - до 6 лет лишения свободы.

Нарушение правил эксплуатации и причинение вреда КИИ с тяжкими последствиями - до 10 лет лишения свободы.

Основные законодательные документы в области защиты КИИ

  1. Федеральный закон от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации;
  2. Федеральный закон от 26.07.2017 г. №193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «о безопасности критической информационной инфраструктуры Российской Федерации;
  3. Федеральный закон от 26.07.2017 г. №194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации;
  4. Указ Президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  5. Указ Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. №1085;
  6. Указ Президента РФ от 22.12.2017 г.-№-620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  7. Указ Президента РФ от 12.12.2014 г. № К 1274 «О Концепции ГосСОПКА;
  8. Указ Президента РФ от 02.03.2018 г. N 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203;
  9. Постановление Правительства РФ от 08.02.2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений;
  10. Постановление Правительства РФ от 17.02.2018 г. №162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
  11. Постановление Правительства РФ от 11.07.2018 г. №808 «О внесении изменения в Правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса;
  12. Приказ ФСТЭК России от 06.12.2017 г. №227 «Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации;
  13. Приказ ФСТЭК России от 11.12.2017 г. №229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
  14. Приказ ФСТЭК России от 21.12.2017 г. №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования;
  15. Приказ ФСТЭК России от 22.12.2017 г. №236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
  16. Приказ ФСТЭК России от 25.12.2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;
  17. Приказ ФСТЭК России от 26.04.2018 г. №72 «О внесении изменений в Регламент ФСТЭК;
  18. Приказ ФСТЭК России от 09.08.2018 г. №138 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239;
  19. Информационное сообщение ФСТЭК России от 25.07.2014 г. № 240-22-2748 «По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
  20. Информационное сообщение ФСТЭК России от 04.05.2018 г. №240-22-2339 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ;
  21. Информационное сообщение ФСТЭК России от 24.08.2018 г. №240-25-3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
  22. Приказ ФСБ России от 24.07.2018 г. №366 «О Национальном координационном центре по компьютерным инцидентам;
  23. Приказ ФСБ России от 24.07.2018 г. №367 «Об утверждении перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы российской федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  24. Приказ ФСБ России от 24.07.2018 г. №368 «Об утверждении порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры российской федерации, между субъектами критической информационной инфраструктуры российской федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и порядка получения субъектами критической информационной инфраструктуры российской федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
  25. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.;
  26. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18.05.2007 г.
Заказать услугу: Защита критической информационной инфраструктуры (КИИ)

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.