В каждом государстве мира существуют критически важные сферы деятельности и отрасли экономики, имеющие жизненно важное значение. Эти сферы деятельности являются приоритетной целью для киберпреступников, в том числе для спонсируемых APT-группировок, спонсируемых правительствами других стран. Именно поэтому, с целью защиты национальных интересов, для этих направлений государство установило особые требования информационной безопасности - требования к критической информационной инфраструктуре (КИИ).
![]()
Павел Стребков,
заместитель руководителя отдела защиты информации
Документы:
Что говорит закон:
Критическая информационная инфраструктура (КИИ) – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Например, базы данных, технологические системы для обмена и передачи информации, программные и программно-аппаратные комплексы, применяемые управления оборудованием, процессами производства и т.д.
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Например, это организации, от которых напрямую зависит жизнедеятельность населения, экономика страны, производство и пр.: банки, медицинские организации, нефтеперерабатывающие и газодобывающие предприятия, оборонная промышленность, а также организации, которые поддерживают взаимодействие между субъектами КИИ.
Для того, чтобы определить степень значимости объекта КИИ, а соответственно применить необходимые меры для информационной безопасности, проводится категорирование объекта КИИ (ПП №127, 187-ФЗ)
Категорирование объектов критической информационной инфраструктуры (КИИ)
– это процесс оценки информационных систем, автоматизированных систем управления и сетей для присвоения категорий значимости.
• Социальная значимость. Оценка возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги.
Например: в результате хакерской атаки была выведена из строя система водоснабжения и водоотведения, в результате чего половина населения города потеряла доступ к чистой воде, а также улицы города покрылись нечистотами, что привело к росту заболеваемости населения (отравления, расстройства ЖКТ)
• Политическая значимость. Оценка возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.
Например: после проведения хакерской атаки на ведущий ВУЗ, подготавливающий специалистов в области медицины, в том числе большого контингента иностранных студентов, были удалены все сведения об обучающихся, в результате чего документы об образовании не были выданы в срок, что повлекло за собой политическую напряженность между нашим государством, и странами – гражданами которых являются выпускники ВУЗа.
• Экономическая значимость. Оценка возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам РФ.
Например: в результате действия APT произошло возгорание на объекте переработки нефти, что привело к ее разливу на обширную территорию, и, как следствие необходимость переселения граждан, проживавших на загрязненной территории, в другие места жительства, что повлекло трату большого количества бюджетных средств.
• Экологическая значимость. Оценка уровня воздействия на окружающую среду.
Например: в результате неправомерного доступа к информационной системе и АСУ ТП химического завода была нарушена технологическая цепочка производства, что привело к выбросу загрязняющих веществ в окружающую среду (реку и воздух), в результате этого погибло большое количество рыбы в реке.
• Значимость объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка.
Например: в результате воздействия иностранной преступной группировки на инфраструктуру завода, обеспечивающего производства оружия, были выведены из строя высокоточные станки с ЧПУ. Результатом этого стал срыв гособоронзаказа.
Порядок действий по категорированию объектов КИИ
1. Определить, является ли организация объектом КИИ (согласно нормам закона);
2. Выявить все процессы организации, включая производственные, финансовые, управленческие и пр. Из этого перечня процессов определить критические;
3. Определить все объекты обработки информации, задействованные в выявленных критических процессах;
4. Оценить критерии значимости объектов критической информационной инфраструктуры РФ и их значений согласно нормативным документам. Скачать;
5. Подготовить и утвердить акт категорирования объектов КИИ для уведомления ФСТЭК.
Документы по КИИ, подлежащие отправке во ФСТЭК
→ Сведения о субъекте КИИ;
→ Сведения об объектах КИИ;
→ Сведения о взаимодействии объектов КИИ и сетей электросвязи;
→ Сведения о лицах, эксплуатирующих объекты КИИ;
→ Сведения о ИС, ИТС, АСУ;
→ Анализ угроз и категории нарушителей;
→ Оценка возможных последствий инцидента;
→ Акт категорирования объектов КИИ.
Мы предлагаем:
- Экспертный подход к выявлению объектов КИИ
- Проведение аудита процессов организации
- Подготовку документации по результатам аудита, в том числе необходимую для отправки во ФСТЭК
- Проектирование и внедрение системы защиты КИИ
- Аттестацию информационной системы по требованиям безопасности информации (в случае, если она является ГИС).Подробнее:
Проектирование и внедрение подсистем защиты информации для критической информационной инфраструктуры
Корпоративный центр ГОССОПКА
1С Продажа и Услуги