тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Памятка для субъекта критической информационной инфраструктуры

By 11.04.2024 Информационная безопасность 0 Comments

Памятка для субъекта критической информационной инфраструктуры

КИИ — критическая информационная инфраструктура. В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в отношении КИИ есть 2 определения — субъекты и объекты.

Субъекты критической информационной инфраструктуры – российские юридические лица и (или) индивидуальные предприниматели, гос. органы и учреждения, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также организации, которые обеспечивают их взаимодействие.

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Кто попадает под КИИ?

Согласно № 187-ФЗ, к объектам критической информационной инфраструктуры относятся:

  • информационные системы;
  • телекоммуникационные сети;
  • автоматизированные системы управления технологическими процессами —

субъектов КИИ в одной из сфер:

  • Банки
  • Транспорт
  • Здравоохранение
  • Наука
  • Связь
  • Атомная промышленность
  • Финансовый сектор
  • Топливно-энергетический комплекс
  • Ракетно-космическая промышленность
  • Металлургическая и химическая промышленность
  • Горнодобывающая промышленность
  • Военно-промышленный комплекс
  • Юридические лица и ИП, взаимодействующие с КИИ

Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты, которым присвоена одна из категорий значимости в результате категорирования.

Какие риски?

С 1 мая 2022 года первое лицо компании-субьекта КИИ несёт персональную ответственность за инциденты в контуре информационной безопасности.

Указ президента «О дополнительных мерах по обеспечению информационной безопасности РФ» вводит в правовое поле помимо административной, также и уголовную ответственность до 10 лет лишения свободы для особо значимых объектов КИИ.

С момента вступления в силу постановления Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования», субъекты КИИ обязаны:

  • приступить к категорированию и согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию, а также сроки проведения;
  • в течение одного года провести категорирование и направить утвержденные акты во ФСТЭК.

Простыми словами, перечень обязательных действий:

  • Найти у себя КИИ по 187-ФЗ
  • Предоставить регулятору информацию об объектах КИИ
  • Прокатегоризировать критические процессы и обеспечить соответствующую техническую реализацию

В случае непредставления субъектом КИИ сведений о результатах категорирования объекта КИИ, ФСТЭК России направляет на адрес указанного субъекта требование о необходимости соблюдения положений ст. 7 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ч. 11 ст. 7 соответствующего ФЗ).

Невыполнение указанного требования влечет административную ответственность по ст. 19.4 Кодекса об административных правонарушениях РФ. Помимо этого, само по себе непредоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административного правонарушения, предусмотренного ст. 19.7 Кодекса об административных правонарушениях РФ.

Взаимодействие с ГОССОПКА

ГОССОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак, направленных на информационные ресурсы РФ.

Необходимо разработать «Регламент реагирования на инциденты, связанные с нарушением безопасности персональных данных» и ознакомить с ним лица, ответственные за реагирование на инциденты.

В документ, в том числе, необходимо включить описание порядка взаимодействия с ГосСОПКА. К способам взаимодействия, в частности, относится информирование посредством электронной почты.

В случае инцидента

  1. В течение 24 часов с момента обнаружения инцидента, лицо, ответственное за реагирование на инциденты, осуществляет информирование в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных».
  2. Результаты внутреннего расследования в течение 72 часов с момента обнаружения инцидента направляются в ГосСОПКА ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных»

Ознакомьтесь с материалами о защите персональных данных, взаимодействии с регуляторами и подготовке документации:

Отличия 17 и 21 приказов ФСТЭК

Как выбрать класс СКЗИ для защиты информационной системы?

Как подобрать нужный тип и класс сертифицированных СЗИ для информационной системы?

Как составить политику обработки ПДн: чек-лист

Сайты: как выполнить требования 152-ФЗ

Защита персданных по ФЗ-152: полный перечень документов

Как определить класс защищённости ГИС?

Проверки по защите персональных данных: Роскомнадзор, ФСБ, ФСТЭК