Памятка для субъекта критической информационной инфраструктуры
КИИ — критическая информационная инфраструктура. В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в отношении КИИ есть 2 определения — субъекты и объекты.
Субъекты критической информационной инфраструктуры – российские юридические лица и (или) индивидуальные предприниматели, гос. органы и учреждения, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также организации, которые обеспечивают их взаимодействие.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Кто попадает под КИИ?
Согласно № 187-ФЗ, к объектам критической информационной инфраструктуры относятся:
- информационные системы;
- телекоммуникационные сети;
- автоматизированные системы управления технологическими процессами —
субъектов КИИ в одной из сфер:
- Банки
- Транспорт
- Здравоохранение
- Наука
- Связь
- Атомная промышленность
- Финансовый сектор
- Топливно-энергетический комплекс
- Ракетно-космическая промышленность
- Металлургическая и химическая промышленность
- Горнодобывающая промышленность
- Военно-промышленный комплекс
- Юридические лица и ИП, взаимодействующие с КИИ
Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты, которым присвоена одна из категорий значимости в результате категорирования.
Какие риски?
С 1 мая 2022 года первое лицо компании-субьекта КИИ несёт персональную ответственность за инциденты в контуре информационной безопасности.
Указ президента «О дополнительных мерах по обеспечению информационной безопасности РФ» вводит в правовое поле помимо административной, также и уголовную ответственность до 10 лет лишения свободы для особо значимых объектов КИИ.
С момента вступления в силу постановления Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования», субъекты КИИ обязаны:
- приступить к категорированию и согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию, а также сроки проведения;
- в течение одного года провести категорирование и направить утвержденные акты во ФСТЭК.
Простыми словами, перечень обязательных действий:
- Найти у себя КИИ по 187-ФЗ
- Предоставить регулятору информацию об объектах КИИ
- Прокатегоризировать критические процессы и обеспечить соответствующую техническую реализацию
В случае непредставления субъектом КИИ сведений о результатах категорирования объекта КИИ, ФСТЭК России направляет на адрес указанного субъекта требование о необходимости соблюдения положений ст. 7 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ч. 11 ст. 7 соответствующего ФЗ).
Невыполнение указанного требования влечет административную ответственность по ст. 19.4 Кодекса об административных правонарушениях РФ. Помимо этого, само по себе непредоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административного правонарушения, предусмотренного ст. 19.7 Кодекса об административных правонарушениях РФ.
Взаимодействие с ГОССОПКА
ГОССОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак, направленных на информационные ресурсы РФ.
Необходимо разработать «Регламент реагирования на инциденты, связанные с нарушением безопасности персональных данных» и ознакомить с ним лица, ответственные за реагирование на инциденты.
В документ, в том числе, необходимо включить описание порядка взаимодействия с ГосСОПКА. К способам взаимодействия, в частности, относится информирование посредством электронной почты.
В случае инцидента
- В течение 24 часов с момента обнаружения инцидента, лицо, ответственное за реагирование на инциденты, осуществляет информирование в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных».
- Результаты внутреннего расследования в течение 72 часов с момента обнаружения инцидента направляются в ГосСОПКА ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных»
Ознакомьтесь с материалами о защите персональных данных, взаимодействии с регуляторами и подготовке документации:
Отличия 17 и 21 приказов ФСТЭК
Как выбрать класс СКЗИ для защиты информационной системы?
Как подобрать нужный тип и класс сертифицированных СЗИ для информационной системы?
Как составить политику обработки ПДн: чек-лист
Сайты: как выполнить требования 152-ФЗ
Защита персданных по ФЗ-152: полный перечень документов
Как определить класс защищённости ГИС?
Проверки по защите персональных данных: Роскомнадзор, ФСБ, ФСТЭК