«Критическая информационная инфраструктура» определяется как информационная инфраструктура, которая влияет на государственную безопасность, экономику и средства к существованию людей. В случае же утечки данных или потери функциональности может быть нанесен серьезный ущерб безопасности страны и общественным интересам.
«Критическая информационная инфраструктура Российской Федерации – это совокупность автоматизированных систем управления КВО, а также взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий». |
В качестве критической информационной инфраструктуры (КИИ) выделяется:
национальная оборона и оборонные технологии;
общественное здравоохранение;
общественный транспорт, включая автомобильные дороги, водные пути, железные дороги и авиацию;
почтовые услуги;
предприятия для реагирования на чрезвычайные ситуации;
предприятия по обеспечению энергии;
предприятия телекоммуникации, радио и телевидения;
страхование социального обеспечения;
финансовые и банковские компании.
Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует требования к субъектам КИИ и устанавливает правила при нарушении безопасности. Подробнее вы можете прочитать в статье:
Если у вас есть объекты критически важной информационной инфраструктуры, должностные лица ФСТЭК России будут проверять корректность формирования перечня объектов КИИ, правильность определения категории значимости, соблюдение требований по обеспечению защиты в соответствии с выбранной категорией значимости. Вы должны соблюдать акты ФЗ-187 и порядок проверок. |
При покупке программных продуктов, устройств и услуг вам следует анализировать их с точки зрения кибербезопасности. В частности, к ним относятся:
высокопроизводительные компьютеры и серверы;
запоминающие устройства большой емкости;
программное обеспечение для крупномасштабных баз данных и соответствующие приложения;
услуги облачных вычислений;
устройства базовой сети;
другие продукты и услуги, влияющие на безопасность КИИ.
Вам необходимо оценить следующие риски для национальной безопасности при покупке перечисленных продуктов и услуг:
потенциальные риски незаконного контроля, вмешательства или разрушения КИИ, а также риск кражи, утечки или повреждения важных данных;
будут ли перебои в поставках таких продуктов и услуг угрожать непрерывности бизнес-процессов КИИ;
безопасность, открытость, прозрачность, разнообразие и надежность каналов поставок, а также риски нарушения поставок по политическим, дипломатическим и торговым причинам;
соответствуют ли поставщики продуктов и услуг российским законам и постановлениям;
другие факторы, которые могут поставить под угрозу КИИ или национальную безопасность.
Продукты
Как подать заявку, если есть КИИ и каковы последствия в случае нарушения?
Начать необходимо с составления перечня объектов КИИ и направления его во ФСТЭК России.
Субъекты КИИ должны самостоятельно оценить степень влияния информационных систем на национальную безопасность. Однако для этого необходимо в превосходстве знать нормативные документы и законы.
Работу по оценке значимости своих объектов КИИ субъект также обязан провести самостоятельно. Однако в качестве консультантов можно привлекать интеграторов, обладающих должными компетенциями и опытом в вопросах обеспечения информационной безопасности объектов КИИ.
Следует помнить, что ФСТЭК или ФСБ России может потребовать проверку безопасности и запросить предоставление дополнительной документации (
Cloud Networks предлагает решение для отслеживания и актуализации всех процессов, связанных с
Данная статья составлена совместно с Натальей Воробьевой – руководителем отдела по работе с партнерами и развитию бизнеса Security Vision.