Каталог +7 (495)-105-91-52 г. Москва, ул. Барклая, д.13, стр.1 Обратный звонок
Главная Безопасность критической информационной инфраструктуры (КИИ)

Безопасность критической информационной инфраструктуры (КИИ)

Опасности уязвимостей КИИ

В соответствии с Федеральным законом N 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», все социально значимые организации и предприятия обязаны надлежащим образом обеспечить защиту критической информационной инфраструктуры. В первую очередь речь идёт о защите от компьютерных атак. Эпидемии вирусов-шифровальщиков, парализовавшие работу сотен компаний по всему миру, в очередной раз подтвердили, что стабильность и бесперебойность рабочих процессов предприятия непосредственно зависит от функционирования его информационных систем.

 

За несоблюдение требований ФСТЭК по обеспечению защиты КИИ для владельцев информационных систем и ответственных должностных лиц предусмотрены следующие меры ответственности:

  • до 6 лет лишения свободы за невыполнение требований по обеспечению безопасности КИИ «нарушение правил эксплуатации» и до 8 лет в случае «группы лиц по предварительному сговору»
  • За невыполнение требований по обеспечению безопасности КИИ в случае возникновения инцидента с тяжкими последствиями или угрозой таких последствий — до 10 лет лишения свободы.

Безопасность критической информационной инфраструктуры (КИИ) - фото № 1

Чтобы избежать административной и уголовной ответственности за нарушение правил эксплуатации значимых объектов критической информационной инфраструктуры, специалисты нашей компании создадут Вам комплексную систему защиты информации «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности наша организация снизит риски и угрозы для вашего бизнеса до минимального уровня. Вы можете обратиться за услугами по защите КИИ к нам, а также в любую другую специализированную ИБ-организацию, деятельность которой сертифицирована ФСТЭК и ФСБ России.

 

Какие компании являются субъектами КИИ

 Субъектами КИИ, которыми согласно ФЗ №187 являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и функционирующие в определенных сферах экономической деятельности.

 

Говоря конкретно, защиту критической информационной инфраструктуры должны осуществлять государственные и коммерческие организации нижеперечисленных отраслей:

  • Государственное управление
  • Здравоохранение
  • Наука
  • Транспорт
  • Связь
  • Энергетика
  • Банки, финансы
  • ТЭК
  • Атомная энергетика
  • Оборонная промышленность
  • Ракетно-космическая промышленность
  • Горнодобывающая промышленность
  • Металлургия
  • Химическая промышленность

 

Схема нашей работы

Компания «Комрунет» оказывает весь комплекс услуг по защите КИИ «под ключ»:

  • помощь в определении состава комиссии по категорированию объектов КИИ;
  • определение и описание процессов обработки информации в информационных системах, информационно-телекоммуникационных сетях и автоматизированных системах управления;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также последствиям, значимым для обеспечения обороны страны, безопасности государства и правопорядка;
  • определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов;
  • помощь в формировании и утверждении перечня объектов КИИ;
  • описание состава информации, обрабатываемой объектами КИИ;
  • описание перечня программных и программно-аппаратных средств, используемых на объектах КИИ;
  • помощь в присвоении каждому объекту КИИ одной из категорий значимости или принятие решения об отсутствии необходимости присвоения категорий значимости;
  • подготовка проектов уведомлений в ФСТЭК России, содержащих сведения о результатах категорирования объектов КИИ.

 

В чём сложности защиты КИИ

Высокий уровень значимости защищаемых систем требует комплексного подхода к обеспечению информационной безопасности. На фоне появления всё новых и новых киберугроз даже самая совершенная система безопасности объекта КИИ не может дать полную гарантию отражения атак.

Безопасность критической информационной инфраструктуры (КИИ) - фото № 2

Для выполнения требований по защите КИИ систему обеспечения информационной безопасности потребуется серьезно изменить и расширить:

  • К задаче потребуется привлекать не только специалистов по информационной безопасности, но и работников подразделений, эксплуатирующих объекты КИИ.
  • Необходимо будет учитывать требования нескольких регуляторов в области ИБ – ФСТЭК, ФСБ, отраслевых (ЦБ для банковского сектора, Минкомсвязи России для телеком-операторов).
  • Потребуется наладить постоянный мониторинг безопасности и своевременно извещать Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в случае обнаружения инцидентов ИБ.
  • Перечисленные шаги – неполные. Комплексная система защиты должна покрывать все элементы ИТ-инфраструктуры, обеспечивать высокий уровень надежности, а также иметь удобные механизмы управления и мониторинга.

 

Реализация мер защиты в значимых объектах КИИ должны быть реализованы следующие организационные и технические меры:

  • идентификация и аутентификация;
  • управление доступом;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • аудит безопасности;
  • антивирусная защита;
  • предотвращение вторжений;
  • обеспечение целостности;
  • обеспечение доступности;
  • защита технических средств и систем;
  • защита информационной (автоматизированной) системы и ее компонентов;
  • планирование мероприятий по обеспечению безопасности;
  • управление конфигурацией;
  • управление обновлениями программного обеспечения;
  • реагирование на инциденты информационной безопасности;
  • обеспечение действий в нештатных ситуациях;
  • информирование и обучение персонала.

 

Для реализации итогового набора мер должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах сертификации (обязательно — в случаях, установленных законодательством Российской Федерации), испытаний или приемки (в иных случаях), проведенных субъектами КИИ самостоятельно или с привлечением специализированных организаций. При этом классы защиты, сертифицированные СрЗИ и используемые средства вычислительной техники (СВТ) должны подбираться в соответствии с категорией значимости объектов КИИ.

TEST page
Купить в один клик

Настоящим подтверждаю, что я ознакомлен и согласен с условиями оферты и политики конфиденциальности.