Критическая информационная структура что это
Критические информационные инфраструктуры
С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры (КИИ).
Получить коммерческое предложение
Что такое КИИ и кто попадает под ФЗ-187?
Субъектами КИИ являются государственные органы и учреждения, юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ), функционирующие в одной из следующих областей:
Банковская сфера и иные сферы финансового рынка
Металургическая и химическая промышленность
Наука, транспорт, связь
Юр. лица и ИП, которые взаимодействуют с системами КИИ
Банковская сфера и иные сферы финансового рынка
Металургическая и химическая промышленность
Наука, транспорт, связь
Юр. лица и ИП, которые взаимодействуют с системами КИИ
Что должны предпринять субъекты КИИ?
Согласно закону, субъекты КИИ должны:
Услуги по КИИ
Категорирование объектов КИИ
Часто задаваемые вопросы
Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства
Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.
По итогам работы вы получите:
Интеграция в ГосСОПКА требует от субъекта КИИ:
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА). К силам ОПЛ КА относятся:
ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.
Существует несколько критериев для определения, является ли организация субъектом КИИ:
Критическая информационная
 | |
| Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ |
Субъекты КИИ обязаны провести категорирование своих объектов, обеспечить их безопасность и подключиться к ГОССОПКА в целях формирования устойчивой к компьютерным атакам критической информационной инфраструктуры РФ.
Какие организации относятся к субъектам КИИ?
Что такое ГОССОПКА?
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Что нужно сделать организациям, чтобы соблюдать закон?
Компания БелИнфоНалог оказывает услуги по выполнению требований 187-ФЗ:
БЕЗОПАСНОСТЬ КИИ: КОРОТКО О ГЛАВНОМ
Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской
Федерации» который вступил в силу 01 января 2018 г. постепенно набирает обороты и пополняется новыми
подзаконными актами, которые часто не облегчают жизнь ИБ-специалисту. Давайте разберёмся в ситуации,
что ожидается и что необходимо предпринять.
КТО МЫ, КИИ ИЛИ НЕ КИИ?
Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.
Какие критерии указывают что вы субъект КИИ?
Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.
«Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.»
Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай
разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.
Нормативно-правовой акт четко определяет, что « к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления ».
Процесс определения принадлежности к субъекту КИИ не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.
ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?
С субъектом и объектом КИИ разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов КИИ, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.
ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?
И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
Закон о безопасности КИИ в вопросах и ответах
В феврале 2021 года на нашем сайте опубликовано обновление этого материала.
В связи с утверждением ряда нормативных правовых актов в области безопасности КИИ после выхода данной статьи, 22.03.2018 в текст статьи были внесены изменения и дополнения.
1 января, с приходом нового 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу и многие компании столкнулись с необходимостью их выполнения, мы постараемся ответить на самые животрепещущие вопросы.
Для чего нужен Закон?
Новый Закон предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (далее – объекты КИИ). Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
Что является целью Закона и как он должен работать?
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак.
Объекты КИИ или КСИИ?
До появления нового закона о КИИ в сфере ИБ существовало похожее понятие ключевых систем информационной инфраструктуры (КСИИ). Однако с 1 января 2018 года понятие КСИИ было официально заменено на понятие «значимые объекты КИИ».
Какие организации попадают в сферу действия Закона?
Требования Закона затрагивают те организации (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Такие организации в Законе называются субъектами КИИ.
Какие действия должны предпринять субъекты КИИ для выполнения Закона?
Согласно закону, субъекты КИИ должны:
Что подлежит категорированию?
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Что в себя включает категорирование объектов КИИ?
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.
По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.
Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
Как проводить категорирование объектов КИИ?
Показатели критериев значимости, а также порядок и сроки категорирования определены в «Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации» утверждённых соответствующим постановлением правительства от 8 февраля 2018 г. № 127 (далее – Правила). Правила регламентируют процедуру категорирования, а также содержат перечень критериев и их показатели для значимых объектов КИИ первой, второй и третьей категории.
Согласно Правилам, процедура категорирования включает в себя:
Категорирование должно проводиться как для существующих, так и для создаваемых или модернизируемых объектов КИИ специальной комиссией под председательством руководителя субъекта КИИ (или уполномоченного им лица), его работников и, при необходимости, приглашённых специалистов ведомств-регуляторов в соответствующей сфере. Решение комиссии оформляется соответствующим актом и в течение 10 дней после его утверждения направляется во ФСТЭК России. Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Максимальный срок категорирования объектов КИИ – 1 год со дня утверждения субъектом КИИ перечня объектов КИИ.
Категория значимого объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности значимых объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением его организационно-правовой формы и т.д.).
Что такое ГосСОПКА и для чего она нужна?
ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА).
К силам ОПЛ КА относятся:
ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.
В данной системе должна собираться и агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Перечень информации и порядок ее предоставления в ГосСОПКА будет определен соответствующим приказом, проект которого был представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения.
Кроме того, в рамках ГосСОПКА организуется обмен информацией о компьютерных атаках между всеми субъектами КИИ, а также международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Технически ГосСОПКА будет представлять собой распределённую систему из центров ГосСОПКА, развёрнутых субъектами КИИ, объединённых в иерархическую структуру по ведомственно-территориальному признаку, и подключённых к ним технических средств (средств ОПЛ КА), установленных в конкретных объектах КИИ. При этом центры ГосСОПКА могут быть ведомственными, то есть организованными государственными органами, а также корпоративными – построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации.
Кто является собственником ГосСОПКА?
Для ГосСОПКА не предусматривается единый собственник: каждый из центров ГосСОПКА будет принадлежать отдельному владельцу, вложившему свои средства в его построение. Государство же будет выступать только в качестве регулятора и координатора.
Что подразумевается под интеграцией с ГосСОПКА?
Интеграция в ГосСОПКА требует от субъекта КИИ:
Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Может ли субъект КИИ не создавать собственный центр ГосСОПКА?
Однако для значимых объектов КИИ субъектам КИИ придется реализовать меры по обнаружению и реагированию на компьютерные инциденты. А для этого в любом случае потребуются специальные технические средства и квалифицированный персонал, которые, по сути, и являются составляющими собственного центра ГосСОПКА.
Что требуется для построения собственного центра ГосСОПКА?
Согласно документу «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», для построения собственного центра ГосСОПКА необходимо обеспечить функционирование совокупности технических средств и процессов, выполняющих следующие функции:
Для этого в составе технических средств ОПЛ КА могут использоваться:
Технические средства должны быть интегрированы в единый комплекс, управляемый из центра ГосСОПКА и взаимодействующий с другими центрами ГосСОПКА.
Помимо технического обеспечения для создания центра ГосСОПКА необходимо разработать соответствующие методические документы, включающие настройки средств обеспечения ИБ, решающие правила средств обнаружения компьютерных атак, правила корреляции событий, инструкции для персонала и т.п.
Центр ГосСОПКА может быть реализован субъектом КИИ как самостоятельно (с использованием собственных технических и кадровых ресурсов), так и с привлечением сторонних специалистов путем передачи на аутсорсинг части функций, например, анализ угроз информационной безопасности, повышение квалификации персонала, прием сообщений об инцидентах, анализ защищенности и расследование инцидентов.
Что требуется для обеспечения безопасности объектов КИИ?
Для объектов КИИ, не являющихся значимыми, в обязательном порядке должна быть обеспечена только интеграция с ГосСОПКА (канал обмена информацией). Остальные мероприятия по обеспечению безопасности объекта КИИ реализуются на усмотрение соответствующего субъекта КИИ.
Для значимых объектов КИИ, помимо интеграции в ГосСОПКА субъекты КИИ должны:
Система безопасности значимого объекта КИИ представляет собой комплекс организационных и технических мер.
Порядок создания системы и требования к принимаемым мерам безопасности определяются приказом ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Кто контролирует выполнение требований Закона?
ФСТЭК России отвечает за ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности.
ФСБ России обеспечивает регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА, осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.
Порядок госконтроля в области обеспечения безопасности значимых объектов КИИ определен постановлением Правительства Российской Федерации от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».
А если требования Закона не будут выполнены?
Вместе с утверждением ФЗ «О безопасности КИИ» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком на 6 лет. Пока данная статья не предусматривает ответственности за невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, однако в случае наступления последствий (аварий и чрезвычайных ситуаций, повлекших за собой крупный ущерб) непринятие таких мер подпадает по состав 293 статьи УК РФ «Халатность». Дополнительно следует ожидать внесения изменений в административное законодательство в части определения штрафных санкций для юридических лиц за неисполнение Закона. С большой долей уверенности можно говорить о том, что именно введение существенных денежных штрафов будет стимулировать субъекты КИИ к выполнению требований Закона.
Критическая информационная структура что это
В этой статье я расскажу что такое критическая информационная инфраструктура простыми словами. Подробно объясню что такое критическая информационная инфраструктура (КИИ), как категорировать КИИ. Также рассмотрю вопрос, является ли медицинская информационная система (МИС) объектом критической информационной инфраструктуры.
Основной документ, который регулирует отношения в области безопасности КИИ — это Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ.
В этом законе есть несколько определений которые нужно знать и понимать (людям работающим в сфере информационной безопасности).
Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Как это понимать? Есть организация, у которой имеется информационная система. Эта информационная система:
Появляется вопрос. А как понять является ли наша информационная система объектом критической информационной инфраструктуры или нет?
Это очень интересный вопрос с которым мне пришлось столкнуться. Для примера возьмем воображаемые системы: МИС «Медицина» (медицинская информационная система) и ИС «Реактор» (информационная система управления ядерным реактором). И подумаем являются ли они объектами КИИ.
Итак, для того что бы понять является ли информационная система объектом критической информационной инфраструктуры нам нужно определить ее категорию.
Категорирование объектов критической информационной инфраструктуры
Категорирование объектов критической информационной инфраструктуры проводится в соответствии с пунктом 2 статьи 7 ФЗ №187-ФЗ от 26.07.2017:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
В этом постановлении подробно расписаны критерии категорирования информационных систем. Останавливаться на тексте документа я не буду, перейдем к таблице «перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения».
Что бы принять решение о том, является ли наша информационная система объектом КИИ проведем категорирование на основе постановления и посмотрим какие будет результаты.
То есть, если у нас есть информационная система нам нужно присвоить ей одну из трех категорий или принять решение об отсутствии у объекта категории значимости.
Так же важно понять, является ли информационная система объектом КИИ или нет. Дело в том, что если информационная система не является объектом КИИ, то сложно будет присвоить ей категорию и организовать защиту информации в соответствии с присвоенной категорией.
Категорирование медицинской информационной системы
Итак, пойдем по таблице указанной в постановлении от 8 февраля 2018 г. №127. Крайний правый столбец будет содержать данные о нашей МИС.
Давайте опишем наши информационные системы.
Пусть медицинская информационная система это система содержащая персональные данные пациентов, по сути там содержится та же информация, что и в бумажной карточке, а именно:
Информационная система «Реактор» будет содержать информацию ограниченного доступа с грифом «секретно». По сути информационная система будет управлять реактором. И мы представляем последствия полного выхода управляющей информационной системы из строя.
| Показатель | Значение показателя | МИС «Медицина» | ИС «Реактор» | ||
| III категория | II категория | I категория | |||
| I. Социальная значимость | |||||
| 1. Причинение ущерба жизни и здоровью людей (человек) | более или равно 1, но менее или равно 50 | более 50, но менее или равно 500 | более 500 | — | I категория |
| 2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые: | |||||
| а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 3. Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||||
| а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I |
| б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 4. Прекращение или нарушение функционирования сети связи, оцениваемые: | |||||
| а) на территории, на которой возможно прекращение или нарушение функционирования сети связи; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| 5 Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее 6 | — | I категория |
| II. Политическая значимость | |||||
| 6. Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение или нарушение функционирования органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования федерального органа государственной власти | прекращение или нарушение функционирования Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 7. Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительственного договора (срыв переговоров или подписания) | нарушение условий межгосударственного договора (срыв переговоров или подписания) | — | III категория |
| III. Экономическая значимость | |||||
| 8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности) | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | I категория |
| 9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого: | |||||
| а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,005, но менее или равно 0,1 | более 0,1 | — | III категория |
| б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 | — | III категория |
| в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета) | более 0,01, но менее или равно 0,5 | более 0,5, но менее или равно 1 | более 1 | — | III категория |
| 10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов — на основе прогнозных значений) | более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 | — | III категория |
| IV. Экономическая значимость | |||||
| 11. Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), оцениваемые: | |||||
| а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | — | I категория |
| б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | — | III категория |
| V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | |||||
| 12. Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра | прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации | прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | — | III категория |
| 13. Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое: | |||||
| а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | — | — |
| б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | более 3, но менее или равно 10 | более 10, но менее или равно 40 | более 40 | — | I категория |
| 14. Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | менее или равно 4, но более 2 | менее или равно 2, но более 1 | более 1 | — | — |
Как видно из таблицы медицинская информационная система «Медицина» не является объектом КИИ, это информационная система содержащая персональные данные и информационная безопасность системы должна выстраиваться исходя их этого факта.
А вот «Реактор» является объектом КИИ, но что бы определить реальную категорию нужны эксперты, так как я не могу с точностью сказать, например, по пункту «Возникновение ущерба бюджетам Российской Федерации, оцениваемого». Так как я не обладаю информацией о бюджете РФ и о размерах отчислений организации в бюджет.
Поэтому категорирование объектов КИИ дело довольно сложное и в большинстве случаев стоит прибегнуть к помощи сторонних организаций имеющих соответствующие лицензии ну и конечно же опыт.
Информационная безопасность объектов КИИ
После проведения категорирования, отталкиваясь от результатов вырабатываются требования к защищенности объекта.
Далее выстраивается система защиты объекта, обычно завершающим этапом является подключение к ГосСОПКА.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Официальный сайт.
Ответственность и наказания
Штрафы и различного рода, ответственность, присматривается не столько за саму критическую информационную инфраструктуру, сколько за нарушение федерального закона №187.
Штрафы
| Вид нарушения | Должностные лица | Юридические лица |
|---|---|---|
| Нарушение требований к созданию системы безопасности КИИ и обеспечению ее функционирования | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятию мер по ликвидации последствий компьютерных атак, проведенных в отношении КИИ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
| от 20.000 до 50.000 руб. | от 100.000 до 500.000 руб. | |
| Нарушение сроков предоставления сведений о результатах категорирования объектов КИИ или об отсутствии их категорирования во ФСТЭК | от 10.000 до 50.000 руб. | от 50.000 до 100.000 руб. |
| Нарушение сроков или порядка предоставления информации в ГосСОПКУ | от 10.000 до 50.000 руб. | от 100.000 до 500.000 руб. |
Как видите, критическая информационная инфраструктура — важная составляющая которую необходимо защищать.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.