Какие организации относятся к субъектам критической информационной инфраструктуры (КИИ)

Какие организации относятся к субъектам критической информационной инфраструктуры (КИИ)
20 февраля 2025

В каждом государстве мира существуют критически важные сферы деятельности и отрасли экономики, имеющие жизненно важное значение. Эти сферы деятельности являются приоритетной целью для киберпреступников, в том числе для спонсируемых APT-группировок, спонсируемых правительствами других стран. Именно поэтому, с целью защиты национальных интересов, для этих направлений государство установило особые требования информационной безопасности - требования к критической информационной инфраструктуре (КИИ).



Павел Стребков, 

заместитель руководителя отдела защиты информации




Документы:

Указ президента РФ от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ»

Указ Президента Российской Федерации от 01.05.2022 № 250
"О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"

 Указ Президента Российской Федерации от 22.11.2023 № 887
"О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации
"

Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"



Что говорит закон:


Критическая информационная инфраструктура (КИИ) – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.


Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Например, базы данных, технологические системы для обмена и передачи информации, программные и программно-аппаратные комплексы, применяемые управления оборудованием, процессами производства и т.д.


Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Например, это организации, от которых напрямую зависит жизнедеятельность населения, экономика страны, производство и пр.: банки, медицинские организации, нефтеперерабатывающие и газодобывающие предприятия, оборонная промышленность, а также организации, которые поддерживают взаимодействие между субъектами КИИ.


Для того, чтобы определить степень значимости объекта КИИ, а соответственно применить необходимые меры для информационной безопасности, проводится категорирование объекта КИИ (ПП №127, 187-ФЗ)


Категорирование объектов критической информационной инфраструктуры (КИИ)

– это процесс оценки  информационных систем, автоматизированных систем управления и сетей для присвоения категорий значимости.


• Социальная значимость. Оценка возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги.

Например: в результате хакерской атаки была выведена из строя система водоснабжения и водоотведения, в результате чего половина населения города потеряла доступ к чистой воде, а также улицы города покрылись нечистотами, что привело к росту заболеваемости населения (отравления, расстройства ЖКТ)


• Политическая значимость. Оценка возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.

Например: после проведения хакерской атаки на ведущий ВУЗ, подготавливающий специалистов в области медицины, в том числе большого контингента иностранных студентов, были удалены все сведения об обучающихся, в результате чего документы об образовании не были выданы в срок, что повлекло за собой политическую напряженность между нашим государством, и странами – гражданами которых являются выпускники ВУЗа.


• Экономическая значимость. Оценка возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам РФ.

Например: в результате действия APT произошло возгорание на объекте переработки нефти, что привело к ее разливу на обширную территорию, и, как следствие необходимость переселения граждан, проживавших на загрязненной территории, в другие места жительства, что повлекло трату большого количества бюджетных средств.


• Экологическая значимость. Оценка уровня воздействия на окружающую среду.

Например: в результате неправомерного доступа к информационной системе и АСУ ТП химического завода была нарушена технологическая цепочка производства, что привело к выбросу загрязняющих веществ в окружающую среду (реку и воздух), в результате этого погибло большое количество рыбы в реке.


• Значимость объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка.

Например: в результате воздействия иностранной преступной группировки на инфраструктуру завода, обеспечивающего производства оружия, были выведены из строя высокоточные станки с ЧПУ. Результатом этого стал срыв гособоронзаказа.


Порядок действий по категорированию объектов КИИ


1.       Определить, является ли организация объектом КИИ (согласно нормам закона);

2.       Выявить все процессы организации, включая производственные, финансовые, управленческие и пр. Из этого перечня процессов определить критические;

3.       Определить все объекты обработки информации, задействованные в выявленных критических процессах;

4.       Оценить критерии значимости объектов критической информационной инфраструктуры РФ и их значений согласно нормативным документам. Скачать;

5.       Подготовить и утвердить акт категорирования объектов КИИ для уведомления ФСТЭК. 


Документы по КИИ, подлежащие отправке во ФСТЭК


→ Сведения о субъекте КИИ;
→ Сведения об объектах КИИ;
→ Сведения о взаимодействии объектов КИИ и сетей электросвязи;
→ Сведения о лицах, эксплуатирующих объекты КИИ;
→ Сведения о ИС, ИТС, АСУ;
→ Анализ угроз и категории нарушителей;
→ Оценка возможных последствий инцидента;
→ Акт категорирования объектов КИИ.

 

Мы предлагаем:

- Экспертный подход к выявлению объектов КИИ

- Проведение аудита процессов организации

- Подготовку документации по результатам аудита, в том числе необходимую для отправки во ФСТЭК

- Проектирование и внедрение системы защиты КИИ

- Аттестацию информационной системы по требованиям безопасности информации (в случае, если она является ГИС).

Подробнее: 

Проектирование и внедрение подсистем защиты информации для критической информационной инфраструктуры
Корпоративный центр ГОССОПКА