Основным условием отнесения системы к КИИ является ее использование государственными органами и российскими компаниями в следующих областях
- здравоохранение
- наука
- транспорт
- телекоммуникации
- энергетика
- Банковское дело (финансы)
- Топливно-энергетический комплекс
- Атомная энергетика
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
К критической информационной инфраструктуре также относятся системы, находящиеся в собственности, аренде или ином законном владении российских компаний и частных предпринимателей, обеспечивающие взаимодействие перечисленных выше систем и сетей.
Понятие критической информационной инфраструктуры определено в Федеральном законе № 187-ФЗ (26.07.26). 2017 "О безопасности критических информационных инфраструктур
Что такое 187-ФЗ "О безопасности критических информационных инфраструктур"?
187-ФЗ является базовым документом для всех тем КИИ.
Задачами 187-ФЗ являются
- Вводит основные понятия
- закладывает основы нормативно-правовой базы
- определяет принципы обеспечения безопасности КИИ
- вводит понятие национальной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - ГОССОПКА).
- Описывается обоснование создания Национального координационного центра по компьютерным инцидентам (НКЦКИ).
- Описывает полномочия Президента и национальных органов власти в области обеспечения безопасности компьютерной информационной инфраструктуры (КИИ).
- Дается основа для определения целей различных видов компьютерной информационной инфраструктуры.
- Обеспечивает правовую основу для ведения реестра критического оборудования компьютерной информации.
- Устанавливает права и обязанности субъектов права на информацию.
- Устанавливает обязанности и требования к системе обеспечения важной физической безопасности.
- Устанавливает основы оценки защищенности средств компьютерной информации.
- Распределяет права и обязанности по государственному контролю.
Что такое ГОССОПКА?
ГОССОПКА - это распределенный по единому пространству комплекс, содержащий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Такое определение содержится в 187-ФЗ.
По сути, ГОССОПКА - это комплекс территориально распределенных центров (сил и средств) с национальным центром координации компьютерных инцидентов.
Более подробную информацию можно найти в следующих документах:
- Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012№803)
- «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014№ К 1274)
- Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Что такое Национальный координационный центр по компьютерным инцидентам?
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) является организацией, обеспечивающей координацию деятельности субъектов КИИ, и составной частью ГОССОПКА.
Он был создан в соответствии с приказом Службы безопасности РФ от 24 июля 2018 года № 366 "О Национальном координационном центре по компьютерным инцидентам".
В функции Национального координационного центра по компьютерным инцидентам входят
1. Координация мероприятий и участие в мероприятиях по реагированию на компьютерные инциденты
2. Организует и осуществляет обмен информацией о компьютерных инцидентах
3. Осуществляет методическое обеспечение
4. Участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак
5. Обеспечивает информирование о компьютерных атаках
6. Собирает и анализирует информацию о компьютерных инцидентах и атаках
Какие работы необходимо провести для обеспечения безопасности КИИ?
Все работы можно разделить на 2 большие группы:
1. Категорирование КИИ
2. Проектирование и внедрение СОИБ КИИ
Группа работ по категорированию включат в себя следующие этапы:
Этап 1. Создание комиссии по категорированию объектов КИИ
Этап 2. Составление перечня объектов КИИ
Этап 3. Согласование перечня объектов КИИ
Этап 4. Отправка перечня объектов во ФСТЭК
Этап 5. Сбор исходных данных для категорирования объектов КИИ
Этап 6. Анализ угроз безопасности
Этап 7. Категорирование объектов КИИ
Этап 8. Отправка сведений о категорировании во ФСТЭК
Этап 9. Независимая экспертиза работ по КИИ
Вторая группа включает в себя этапы:
Этап 10. Проектирование СОИБ КИИ
Этап 11. Внедрение СОИБ КИИ
Этап 12. Разработка организационно-распорядительной документации (ОРД) для субъекта и объектов КИИ
Итогом работ является функционирующая система обеспечения информационной безопасности критической информационной инфраструктуры.
Нужно ли использовать сертифицированные средства защиты информации в КИИ?
Как сказано в Приказе ФСТЭК России №239 (п.27 – 31), в приоритете применяются встроенные средства защиты, а также должны применяться средства защиты прошедшие оценку соответствия в формах сертификации, испытаний или приемки.
Таким образом, сертифицированные средства защиты должны применяться не всегда.
Критическая информационная инфраструктура не является преходящей темой в области информационной безопасности.Она способна стать крупнейшей темой, по крайней мере, последнего десятилетия. Всем субъектам КИИ (а их немало) придется не только провести ряд трудоемких и дорогостоящих мероприятий, но и построить полноценную систему безопасности. Такая система должна включать в себя административную, техническую защиту и другие части системы. Системы необходимо поддерживать, модернизировать и совершенствовать. Все это потребует значительных финансовых средств, трудовых ресурсов и компетенций, которые еще не сформированы на рынке. КИИ - это новая реальность, и опыт показывает, что тем, кто быстро интегрируется в нее, будет легче в будущем.
Нормативные документы по КИИ
Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности КИИ РФ»
Федеральный закон №193-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О безопасности КИИ РФ»
Федеральный закон №194-ФЗ от 26.07.2017 «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ»
Указ Президента РФ №569 от 25.11.2017 «О внесении изменений в Положение о ФСТЭК»
Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»
Постановление Правительства РФ №162 от 17.02.2018 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»
Постановление Правительства РФ №808 от 11.07.2018 «О внесении изменения в Правила организации повышения квалификации специалистов по ЗИ и должностных лиц, ответственных за организацию ЗИ в ОГВ, ОМС, организациях с госучастием и организациях ОПК»
Приказ ФСТЭК России №227 от 06.12.2017 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ»
Приказ ФСТЭК России №229 от 11.12.2017 «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ РФ» Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
Приказ ФСТЭК России №69 от 20.04.2023. «О внесении изменений в требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21.12.2017 г. № 235»
Приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»
Приказ ФСТЭК России №72 от 26.04.2018 «О внесении изменений в Регламент ФСТЭК»
Приказ ФСТЭК России №138 от 09.08.2018 «О внесении изменений в Требования к обеспечению ЗИ в АСУ П и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК №31, и в Требования по обеспечению безопасности ЗО КИИ РФ, утвержденные приказом ФСТЭК №239»Приказ ФСБ России №366 от 24.07.2018 «О НКЦКИ» Приказ ФСБ России №367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА»
Приказ ФСБ России №368 от 24.07.2018 «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
Информационное сообщение ФСТЭК России №240/22/2339 от 04.05.2018 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ»
Информационное сообщение ФСТЭК России №240/25/3752 от 24.08.2018 «По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Федеральным законом от 26.05.2021 N 141-ФЗ внесены изменения в КоАП РФ, касающиеся правонарушений в деятельности субъектов КИИ.
С 30 марта 2022 года принципиально изменились требования значимым объектам критической информационной инфраструктуры. Опубликован Указ Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”.
Данный документ радикально меняет всю структуру существовавших ранее требований и подходов к обеспечению защиты значимых объектов КИИ.
1. С 31 марта 2022 года введен прямой запрет на закупку иностранных программных продуктов и программно-аппаратных комплексов для целей использования на значимых объектах КИИ. Исключения допускаются только по согласованию.
2. С 1 января 2025 года запрещается использование иностранного программного обеспечения и программно-аппаратных комплексов на значимых объектах КИИ.
3. Должны быть согласованы новые требования к ПО, а также правила закупок иностранного ПО (1 месяц).
4. Правительство должно обеспечить преимущественное применение отечественного оборудования и программно-аппаратных комплексов на значимых объектах КИИ (6 месяцев).
Таким образом, те субъекты КИИ, у которых имеются значимые объекты критической инфраструктуры, должны в экстренном порядке провести следующие работы:
1. Проектирование системы безопасности значимого объекта КИИ
2. Модернизация значимого объекта КИИ (включая поставку оборудования, ПАК и ПО, внедрение и пр.)