Защита КИИ (187-ФЗ)
Организациям – владельцам объектов критической информационной
инфраструктуры (КИИ), в соответствии
с законодательством необходимо
выполнить ряд мероприятий по обеспечению безопасности объектов КИИ.
Это требование обязательно для всех субъектов КИИ вне зависимости
от формы собственности и размера.
Мы готовы предложить широкий спектр услуг – аудит, консультационная помощь при категорировании,
разработка и внедрение систем защиты для субъектов КИИ, вне зависимости от установленной
категории значимости.
Что такое КИИ - критическая информационная инфраструктура?
В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
К объектам КИИ относят:
- информационные системы,
- информационно-телекоммуникационные сети,
- автоматизированные системы управления,
функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере
и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности
(ст. 2 Федерального закона № 187-ФЗ).
Кого можно отнести к субъектам КИИ:
Есть два важных условия:
- владение на праве собственности, аренды или ином законном основании объектами КИИ;
- необходимо быть резидентом РФ (вне зависимости от формы собственности и вида организации; это актуально
и для индивидуальных предпринимателей).
Также к субъектам КИИ относят российских юридических лиц и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие указанных систем или сетей.
Как узнать, относится ли деятельность организации к перечню, предусмотренному законом № 187-ФЗ?
На данный момент нет однозначного привязанного к ОКВЭД перечня видов деятельности, утвержденного регулятором. Соответственно, если у Вас есть информационные системы (и др.), которые функционируют в указанных выше сферах, необходимо выполнить мероприятия, предусмотренные Федеральным законом № 187-ФЗ.
Ответственность за несоблюдение законодательства в сфере КИИ:
Административная ответственность (штрафы) за нарушение:
-
требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации: ст. 13.12.1 КоАП – до 500 тыс. рублей, (если не содержит признаков уголовно наказуемого деяния);
-
требований законодательства о хранении документов и информации, содержащейся в информационных системах: ст. 13.25 КоАП – до 300 тыс. рублей;
-
порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных инцидентов: ст. 13.12.1 КоАП – должностным лицам до 50 тыс. рублей, а юридическим лицам - до 500 тыс. рублей;
-
непредставление или нарушение сроков представления сведений о результатах присвоения объекту критической информационной инфраструктуры РФ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий предусмотрены следующие размеры штрафов ст. 13.12.1 КоАП – должностным лицам до 50 тыс. рублей, а юридическим лицам - до 100 тыс. рублей
Уголовная
ответственность:
-
неправомерный доступ к компьютерной информации: ст. 272 УК РФ – штраф от 200 тыс. руб. до 500 тыс. руб., ограничение/лишение свободы до 5 лет (до 7 лет при тяжких последствиях);
-
нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей ст. 274 УК РФ – штраф до 500 тыс. рублей и/или принудительные работы/ограничение/лишение свободы на срок до 5 лет;
-
неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации ст. 274.1 УК РФ – штраф до 1 млн. рублей и/или ограничение/лишение свободы на срок до 8 лет (до 10 лет в при тяжких последствиях)
Перечень видов деятельности указывается субъектом при регистрации и может изменяться в ходе его деятельности.
Для уточнения необходимо получить актуальную выписку из ЕГРЮЛ. Сделать это можно, зная ИНН субъекта, на сайте Федеральной налоговой службы.
Для упрощения оценки мы выбрали из классификатора виды деятельности, которые могут быть отнесены к указанным сферам. Обратите внимание – этот перечень не является окончательным. В каждом отдельно взятом случае необходимо выяснить, не задействованы ли имеющиеся у организации информационные системы (ИТКС, АСУ и др.) в любой из 13 сфер.
№ п/п | Сфера деятельности | Класс ОКВЭД-2 |
---|---|---|
1 | Здравоохранение | 84 (84.12), 86 (но, например, может быть отнесено 21, 26.6, 32.5 и др.) |
2 | Наука | 72 |
3 | Транспорт | 49, 50, 51, 52, 53 |
4 | Связь | 53.1, 53.20.1, 53.20.2, 61, 63.99.11 |
5 | Энергетика | 27.1, 35 |
6 | Банковская сфера и иные сферы финансового рынка | 64, 65, 66, 74.90 (частично), 84.11.4 |
7 | Топливно-энергетический комплекс | 05, 06, 08.92, 09.1, 19, 27.11, 35 |
8 | Атомная энергия | 07.21, 20.13, 24, 25 (25.30.2), 26 (26.51), 27.90 (27.90.1, 27.90.2), 28 (28.99.4), 35 (35.11.3), 38.22.1, 52.10.4 |
9 | Оборонная промышленность | 20.15, 25 (25.4), 26 (26.70.3, 26.70.4, 26.70.6), 28.99.3, 30 (30.4, 30.3) |
10 | Ракетно-космическая промышленность | 26 (26.51), 30 (30.3) |
11 | Горнодобывающая промышленность | 05, 06, 07, 08, 09, 43.12.4, 43.13 |
12 | Металлургическая промышленность | 07, 24, 25.5, 25.6 |
13 | Химическая промышленность | 20 |
Итак, мы определили, что наша организация является субъектом КИИ. Какие наши дальнейшие действия?
1. Проведение категорирования объектов КИИ.
При проведении категорирования следует руководствоваться Постановлением Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – ПП РФ № 127, Правила).
2. Категорирование включает в себя:
определение управленческих, технологических, производственных, финансово-экономических и (или) иных процессов
в рамках выполнения функций (полномочий) в 13 областях (сферах) КИИ;выявление из этого списка тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы);
определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию
(далее – перечень объектов);оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
По результатам категорирования, объекту КИИ присваивается одна из трех категорий значимости. Самая высокая категория - первая, самая низкая - третья. В таком случае объект считается значимым объектом КИИ (ЗОКИИ).
В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается. В таком случае объект считается незначимым объектом КИИ (НОКИИ).
Разберем все действия пошагово
Шаг № 1.
По сути он уже завершен. Вы определили, что принадлежащая организации информационная система (ИТКС, АСУ и пр.) функционирует
в одной из 13 сфер (см. ст. 2 Федерального закона № 187-ФЗ).
Результат рекомендуем оформить в виде служебной записки на имя руководителя организации от ответственного лица либо в виде заключения коллегиального органа. Например, это может быть комиссия по безопасности (в т.ч. информационной безопасности).
Шаг № 2.
Для проведения категорирования решением руководителя организации создается постоянно действующая комиссия по категорированию.
В ее состав включают:
— руководителя или уполномоченное им лицо;
— работники, ответственные за безопасность, информационную безопасность, гражданскую оборону и защиту от ЧС, по защите гостайны;
— работники, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов.
По решению руководителя субъекта КИИ в состав комиссии могут быть включены работники иных подразделений (например,
финансово-экономического подразделения).
При наличии филиалов, представительств, по решению руководителя головной организации могут создаваться отдельные комиссии
по категорированию объектов КИИ в этих филиалах, представительствах. Координацию и контроль их деятельности осуществляет комиссия по категорированию субъекта КИИ – головной организации.
Порядок проведения категорирования:
1. Комиссия по категорированию в ходе своей работы:
определяет процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
выявляет наличие критических процессов;
выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую
для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. После того как определен перечень объектов, необходимо выполнить следующие действия:
— перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры (например, если организация, функционирует в сфере ТЭК региона, согласовывает перечень профильное ведомство региона);
— после согласования перечень утверждается субъектом критической информационной инфраструктуры;
— перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки
и утверждения.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов).
2. После утверждения перечня объектов, комиссия продолжает работу.
рассматривает возможные действия нарушителей в отношении объектов КИИ, иные источники угроз безопасности информации*;
анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов
на объектах КИИ*;оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;
устанавливает каждому из объектов КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
3. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной
из таких категорий.
Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих одному субъекту КИИ.
Акт подписывается членами комиссии по категорированию и утверждается руководителем.
В течение 10 рабочих дней со дня утверждения акта, необходимо направить в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (о содержании уведомления см. п 17 Правил).
Пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий осуществляется не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов КИИ.
В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются
в федеральный орган, уполномоченный в области обеспечения безопасности КИИ.