Критична ли ваша информационная инфраструктура?

Критична ли ваша информационная инфраструктура?

«Критическая информационная инфраструктура» определяется как информационная инфраструктура, которая влияет на государственную безопасность, экономику и средства к существованию людей. В случае же утечки данных или потери функциональности может быть нанесен серьезный ущерб безопасности страны и общественным интересам.

«Критическая информационная инфраструктура Российской Федерации – это совокупность автоматизированных систем управления КВО, а также взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий».

В качестве критической информационной инфраструктуры (КИИ) выделяется:

  • национальная оборона и оборонные технологии;

  • общественное здравоохранение;

  • общественный транспорт, включая автомобильные дороги, водные пути, железные дороги и авиацию;

  • почтовые услуги;

  • предприятия для реагирования на чрезвычайные ситуации;

  • предприятия по обеспечению энергии;

  • предприятия телекоммуникации, радио и телевидения;

  • страхование социального обеспечения;

  • финансовые и банковские компании.

Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует требования к субъектам КИИ и устанавливает правила при нарушении безопасности. Подробнее вы можете прочитать в статье:

Как защитить критическую информационную инфраструктуру по ФЗ-187?

 

Если у вас есть объекты критически важной информационной инфраструктуры, должностные лица ФСТЭК России будут проверять корректность формирования перечня объектов КИИ, правильность определения категории значимости, соблюдение требований по обеспечению защиты в соответствии с выбранной категорией значимости. Вы должны соблюдать акты ФЗ-187 и порядок проверок.

О приобретении продуктов и услуг для КИИ

При покупке программных продуктов, устройств и услуг вам следует анализировать их с точки зрения кибербезопасности. В частности, к ним относятся:

  • высокопроизводительные компьютеры и серверы;

  • запоминающие устройства большой емкости;

  • программное обеспечение для крупномасштабных баз данных и соответствующие приложения;

  • услуги облачных вычислений;

  • устройства базовой сети;

  • другие продукты и услуги, влияющие на безопасность КИИ.

Вам необходимо оценить следующие риски для национальной безопасности при покупке перечисленных продуктов и услуг:

  • потенциальные риски незаконного контроля, вмешательства или разрушения КИИ, а также риск кражи, утечки или повреждения важных данных;

  • будут ли перебои в поставках таких продуктов и услуг угрожать непрерывности бизнес-процессов КИИ;

  • безопасность, открытость, прозрачность, разнообразие и надежность каналов поставок, а также риски нарушения поставок по политическим, дипломатическим и торговым причинам;

  • соответствуют ли поставщики продуктов и услуг российским законам и постановлениям;

  • другие факторы, которые могут поставить под угрозу КИИ или национальную безопасность.

Продукты должны будут входить в реестр отечественного ПО, а деятельность поставщиков услуг должна быть сертифицирована ФСТЭК и ФСБ России.

Как подать заявку, если есть КИИ и каковы последствия в случае нарушения?

Начать необходимо с составления перечня объектов КИИ и направления его во ФСТЭК России.

Субъекты КИИ должны самостоятельно оценить степень влияния информационных систем на национальную безопасность. Однако для этого необходимо в превосходстве знать нормативные документы и законы.

Работу по оценке значимости своих объектов КИИ субъект также обязан провести самостоятельно. Однако в качестве консультантов можно привлекать интеграторов, обладающих должными компетенциями и опытом в вопросах обеспечения информационной безопасности объектов КИИ.

Следует помнить, что ФСТЭК или ФСБ России может потребовать проверку безопасности и запросить предоставление дополнительной документации ( См. пункт 3 ) и в случае нарушений наложить штрафы и санкции.

Cloud Networks предлагает решение для отслеживания и актуализации всех процессов, связанных с защитой объектов КИИ .

Данная статья составлена совместно с Натальей Воробьевой – руководителем отдела по работе с партнерами и развитию бизнеса Security Vision.

КИИ АСУ ТП критическая инфраструктура критическая информационная инфраструктура защита данных
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Cloud Networks

Полезные статьи и новости по теме информационной безопасности и IT-решений для SMB-бизнеса и Enterprise.