Субъекты критической информационной инфраструктуры 187 фз

ГЛАВА 1 Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры далее по тексту — КИИ сформулированы в статье 2 Федерального закона от В соответствии с ней, под КИИ понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Как видно из определения критическая информационная инфраструктура Российской Федерации представляет собой совокупность всех принадлежащих российским организациям и органам государственной власти объектов КИИ и обеспечивающих их взаимодействие сетей электросвязи. Одним из наиболее распространенных видов информационных систем являются информационные системы персональных данных ИСПДн. Информационно-телекоммуникационные сети ИТКС.

Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:

  • Для жителей Москвы и МО - +7 (499) 653-60-72 Доб. 448
  • Санкт-Петербург и Лен. область - +7 (812) 426-14-07 Доб. 773

Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Рекомендуемый срок — январь года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ. Статья

ФЗ от «О безопасности критической информационной субъекта к критической информационной инфраструктуре, достаточно. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от N ФЗ Права и обязанности субъектов критической информационной инфраструктуры · Статья ФЗ «О безопасности критической информационной в 12 субъектах критической информационной инфраструктуры в сфере.

Субъект КИИ или не субъект, вот в чем вопрос!

Безопасность значимых объектов обеспечивается субъектами критической информационной инфраструктуры в рамках функционирования систем безопасности значимых объектов, создаваемых субъектами критической информационной инфраструктуры в соответствии со статьей 10 Федерального закона от 26 июля г. Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов 7. Обеспечение безопасности значимых объектов является составной частью работ по созданию модернизации , эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях этапах их жизненного цикла. На стадиях этапах жизненного цикла в ходе создания модернизации , эксплуатации и вывода из эксплуатации значимого объекта проводятся: а установление требований к обеспечению безопасности значимого объекта; б разработка организационных и технических мер по обеспечению безопасности значимого объекта; в внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; г обеспечение безопасности значимого объекта в ходе его эксплуатации; д обеспечение безопасности значимого объекта при выводе его из эксплуатации. Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях этапах его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры. Для значимых объектов, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации или дооснащения подсистем безопасности эксплуатируемых значимых объектов. Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ планов по модернизации или дооснащению значимых объектов. Установление требований к обеспечению безопасности значимого объекта Задание требований к обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и или лицом, устанавливающим требования к обеспечению безопасности значимых объектов, в соответствии с категорией значимости значимого объекта, определенной в порядке, установленном Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации , утвержденными постановлением Правительства Российской Федерации от 8 февраля г. N "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации" Собрание законодательства Российской Федерации, , N 8, ст. Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта и или техническое задание частное техническое задание на создание подсистемы безопасности значимого объекта, которые должны содержать: а цель и задачи обеспечения безопасности значимого объекта или подсистемы безопасности значимого объекта; б категорию значимости значимого объекта; в перечень нормативных правовых актов, методических документов и национальных стандартов, которым должен соответствовать значимый объект; г перечень типов объектов защиты значимого объекта; д требования к организационным и техническим мерам, применяемым для обеспечения безопасности значимого объекта; Подпункт в редакции, введенной в действие с 30 апреля года приказом ФСТЭК России от 26 марта года N Подпункт дополнительно включен с 30 апреля года приказом ФСТЭК России от 26 марта года N 60 В случае если значимый объект создается в рамках объекта капитального строительства, требования к обеспечению безопасности значимого объекта задаются застройщиком и оформляются в виде приложения к заданию на проектирование реконструкцию объекта капитального строительства. При определении требований к обеспечению безопасности значимого объекта учитываются положения организационно-распорядительных документов по обеспечению безопасности значимых объектов, разрабатываемых субъектами критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности значимых объектов и обеспечению их функционирования, утвержденными в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля г. N ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" далее - организационно-распорядительные документы по безопасности значимых объектов. Разработка организационных и технических мер по обеспечению безопасности значимого объекта Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и или лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию модернизации значимого объекта и или обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и или техническим заданием частным техническим заданием на создание подсистемы безопасности значимого объекта и должна включать: а анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение при ее наличии ; б проектирование подсистемы безопасности значимого объекта; в разработку рабочей эксплуатационной документации на значимый объект в части обеспечения его безопасности. Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны оказывать негативного влияния на создание и функционирование значимого объекта.

Безопасность критической информационной инфраструктуры Российской Федерации

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

В определении субъектов КИИ указаны организации финансовой и банковской сферы. Любой ли банк является субъектом КИИ? Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта. Формирование комиссии: На начальном этапе нужно сформировать комиссию.

Определение процессов: Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений.

Рассмотрим, как действовать, на примере банка. Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере в конкретном банке они, как правило, уже задокументированы. Получение добавленной стоимости. Получение прибыли, как цель коммерческой деятельности. Обеспечивающие бизнес-процессы банка: Процессы, клиентами которых являются основные процессы.

Процессы, которые создают и поддерживают инфраструктуру банка. Управляющие бизнес-процессы банка: Процессы, основной целью которых является управление деятельностью банка. Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность. Например, Процесс 2 не критический. Рис 2.

Выявление критических процессов Далее переходим от процессов к объектам КИИ: Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, то есть осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу: Таблица 1. Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами Таблица 1.

Далее оцениваем: уязвимости и потенциальные угрозы; масштаб возможных последствий оценим по таблице из ПП Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. Как оценивать? Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ или обосновать их неактуальность. Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, или кратко обосновать невозможность наступления компьютерных инцидентов.

Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник. Уровень процесса выше нижней границы значения для III категории? Есть ли источники угроз ИБ? Существуют ли актуальные угрозы ИБ? Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак? Возможно ли причинение ущерба вследствие инцидентов ИБ? Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Для финансовых расчетов возможных потерь и убытков согласно табл. ПП п.

Документы по обеспечению безопасности критической информационной инфраструктуры

В соответствии со статьей 14 Федерального закона от 27 июля г. Статей Частью 3 стати 9 Федерального закона установлено, что субъекты критической информационной инфраструктуры Российской Федерации, которым принадлежат значимые объекты критической информационной инфраструктуры, обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена. В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами Краткое описание проблемы, на решение которой направлен предлагаемый способ регулирования Частью 3 стати 9 Федерального закона от 27 июля г. Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена Общая характеристика соответствующих общественных отношений Обеспечение безопасности критической информационной инфраструктуры Российской Федерации в соответствии с Федеральным законом от 27 июля г.

Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

Сфера действия настоящего Федерального закона Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации далее также - критическая информационная инфраструктура в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. Правовое регулирование отношений в области обеспечения безопасности критической информационной инфраструктуры 1. Отношения в области обеспечения безопасности критической информационной инфраструктуры регулируются в соответствии с Конституцией Российской Федерации, общепризнанными принципами и нормами международного права, настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации 1. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В целях настоящей статьи под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и или консульских учреждениях Российской Федерации. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры , предупреждения, ликвидации последствий компьютерных атак и или обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и или ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации. Национальный координационный центр по компьютерным инцидентам осуществляет свою деятельность в соответствии с положением, утверждаемым федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, организует в установленном им порядке обмен информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, а также между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. Предоставление из государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации.

187-ФЗ. БЕЗОПАСНОСТЬ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОРГАНИЗАЦИИ

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы. В определении субъектов КИИ указаны организации финансовой и банковской сферы.

ФЗ «О безопасности критической информационной в 12 субъектах критической информационной инфраструктуры в сфере. Федеральный закон от от 26 июля года № ФЗ «О безопасности критической информационной инфраструктуры Российской. №ФЗ «О безопасности критической информационной критической информационной инфраструктуры Российской Федерации (далее – КИИ). Закон ФЗ обязывает выполнить всем субъектам КИИ, в первую очередь.

Требования закона ФЗ и его подзаконных нормативно-правовых актов распространяется на субъектов КИИ — государственные органы, государственные учреждения, российские юридические лица и или индивидуальные предприниматели, которым по праву собственности, аренды или на ином законном основании принадлежат объекты КИИ. Закон ФЗ налагает на всех субъектов КИИ следующие обязанности: незамедлительно информировать о компьютерных инцидентах НКЦКИ НКЦКИ — Национальный координационный центр по компьютерным инцидентам, НКЦКИ является главным центром системы ГосСОПКА , а для организаций, работающих в банковской сфере и иных сферах финансового рынка и Центральный банк Российской Федерации; в случае установки на объекты КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность; реагировать на компьютерные инциденты в порядке, утвержденном НКЦКИ, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры. Реализация технического решения на базе PT Platform — достаточно продолжительный проект, который мы предлагаем разделить на несколько основных этапов: Предпроектное обследование; Категорирование объектов КИИ, разработка технического задания ТЗ на создание системы обеспечения безопасности КИИ; Проектирование и ввод в действие системы обеспечения безопасности КИИ; Обеспечение функционирования системы обеспечения безопасности КИИ. Преимущества PT Platform соответствие требованиям законодательства,.

Безопасность критической информационной инфраструктуры Российской Федерации

Примечания Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Организации обязаны обеспечить безопасность объектов критической информационной инфраструктуры В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок — январь года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ. С чего начать? Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ.

Защита объектов КИИ (187-ФЗ)

В настоящий момент много споров и обсуждений до сих пор вызывают сроки выполнения работ по приведению в соответствие требованиям Закона. В итоге многие организации — субъекты КИИ решили, что раз срок не установлен, то можно не спешить. Однако, с начала лета года субъекты КИИ стали получать информационные письма от отраслевых регуляторов и местных органов исполнительной власти, разъясняющие их позицию в части сроков выполнения требований Закона.

.

.

.

ВИДЕО ПО ТЕМЕ: Безопасность критической информационной инфраструктуры (187-ФЗ КИИ)
Понравилась статья? Поделиться с друзьями:
Комментариев: 3
  1. Тамара

    Хотел бы сказать пару слов.

  2. feclingguarhy

    Извините за то, что вмешиваюсь… У меня похожая ситуация. Пишите здесь или в PM.

  3. Марк

    Любопытный топик

Добавить комментарий

Отправляя комментарий, вы даете согласие на сбор и обработку персональных данных