Практические шаги по соблюдению 187-ФЗ "О безопасности критической информационной инфраструктуры" в организации

Author Admin Reading time 3 minutes
Практические шаги по соблюдению 187-ФЗ "О безопасности критической информационной инфраструктуры" в организации

В статье представлен практический алгоритм действий для организаций, подпадающих под требования 187-ФЗ "О безопасности критической информационной инфраструктуры РФ". Рассмотрены основные этапы: определение и инвентаризация объектов КИИ, категорирование, взаимодействие с ФСТЭК, внедрение необходимых мер информационной безопасности и подготовка к государственному надзору. Материал предназначен для специалистов по ИБ и руководителей, стремящихся обеспечить соответствие своей компании законодательству в области защиты критически важных информационных систем.

Для чего принят закон

Закон создан для обеспечения устойчивой и защищённой работы критически важных объектов и систем (госорганов, банков, транспорта, энергетики, связи и др.) от киберугроз и компьютерных атак. Закон определяет, как выявлять такие объекты, какие требования к их защите предъявляются, и кто контролирует соблюдение правил.

Ключевые понятия

Критическая информационная инфраструктура (КИИ) — это совокупность ИТ-систем, сетей, автоматизированных систем управления крупных организаций ключевых отраслей (государство, ТЭК, финансы, промышленность и др.), сбой которых может причинить серьёзный вред стране, экономике и жителям.

  • Объекты КИИ — конкретные IT-системы, сети и АСУ организационного владельца (субъекта КИИ).
  • Значимый объект КИИ — объект, которому по результатам категорирования официально присвоена одна из трёх категорий значимости.
  • Компьютерная атака — целенаправленные действия с использованием ИТ для нарушения работы объектов КИИ.
  • Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — структура для координации реагирования на атаки.

Кого касается

Закон обязывает государственные органы, госкорпорации, банки, телеком-компании, крупных игроков в сфере транспорта, энергетики, промышленности, медицины и других экономически и социально значимых отраслей:

  • выявлять свои объекты КИИ,
  • проводить их категорирование (назначение категории значимости),
  • направлять сведения органу власти (обычно ФСТЭК России),
  • создавать системы защиты и соответствовать требованиям по безопасности,
  • взаимодействовать с НКЦКИ и компетентными органами,
  • немедленно уведомлять о компьютерных инцидентах и оказывать содействие при их расследовании,
  • проходить контроль и проверки органов власти.

Принципы и структура обеспечения безопасности

Законность, непрерывность, комплексность и приоритет предотвращения атак.
Есть федеральные органы (прежде всего ФСТЭК России), которые:

  • вырабатывают требования по безопасности,
  • ведут реестр значимых объектов,
  • осуществляют проверки,
  • получают и обрабатывают сведения об инцидентах,
  • координируют реагирование.

Категорирование объектов

Любой объект КИИ должен быть отнесён к одной из трёх категорий значимости структурой-владельцем (самостоятельно или с помощью подрядчика). Категория зависит от масштабов возможного ущерба (социального, экономического, экологического, политического).

Процедура категорирования и направление сведений обязательны. Если объект подпадает под КИИ, он вносится в реестр, и для него установят дополнительные требования по безопасности.

Требования к безопасности

Определяются для каждой категории значимости. Включают технические, программные и организационные меры:

  • внедрение систем мониторинга, реагирования, защиты информации,
  • резервное копирование,
  • планы реагирования,
  • регулярные оценки защищённости,
  • обмен информацией с уполномоченными органами и НКЦКИ.

Контроль, ответственность

Соблюдение требований закона контролируется через плановые и внеплановые проверки. За нарушения возможна административная и уголовная ответственность.

Влияние закона на деятельность компаний

  • Обязательное категорирование и регистрация объектов, которые подпадают под КИИ.
  • Необходимость наличия внутренней службы/ответственного за ИБ.
  • Соблюдение всех требований ФСТЭК по безопасности КИИ, внедрение систем защиты и регламента мероприятий, от документов до технических средств.
  • В случае серьезных инцидентов — контакт с органами власти, выполнение всех распоряжений и предоставление данных.
  • Расходы на соблюдение требований могут быть существенными.

Практические шаги для организаций, подпадающих под действие 187‑ФЗ "О безопасности критической информационной инфраструктуры РФ":

1. Определите, являетесь ли вы субъектом КИИ

Проверьте, выполняет ли ваша организация функции в одной из отраслей, упомянутых в законе (государственное управление, здравоохранение, транспорт, связь, энергетика, финансы, оборона, наука, и т.д.).

Если да — проверьте, есть ли у вас информационные системы, АСУ, ИТ-сети, потенциальный сбой которых может нанести ущерб людям, экономике, стране.

2. Проведите инвентаризацию объектов

Составьте полный перечень используемых:

  • информационных систем,
  • сетей,
  • автоматизированных систем управления (АСУ ТП),
  • IT-инфраструктуры, связанной с критически важными процессами вашей организации.

3. Категорируйте объекты КИИ

Проведите категорирование (оценку социального, экономического, политического, экологического ущерба при сбое или атаке):

  • Определите, попадают ли объекты в одну из трёх категорий значимости (или не имеют категории).
  • Документально закрепите процедуру категорирования (отчёт, внутренний приказ и т.д.).

4. Направьте сведения о категорировании в ФСТЭК России

  • Заполните утверждённые формы (их регулярно обновляют, используйте актуальные шаблоны ФСТЭК).
  • Укажите данные обо всех объектах: их наименования, типы, категорию, ответственных лиц.
  • Отправьте сведения в территориальное управление ФСТЭК по месту деятельности вашей организации.

5. Дождитесь проверки корректности категорирования

  • ФСТЭК проверяет ваши сведения (30 дней) и либо вносит объект в реестр (для значимых объектов), либо возвращает вам документы с замечаниями.
  • Исправьте, если найдены ошибки, и отправьте вновь.

6. Выполните требования по обеспечению безопасности значимых объектов КИИ

Для объектов, попавших в реестр KИИ:

  • Ознакомьтесь с действующими приказами ФСТЭК по требуемым мерам защиты и срочно начните их внедрять.
  • Организуйте разработку и утверждение организационно-распорядительных документов (политика ИБ, положение о категории, планы реагирования).
  • Убедитесь, что внедрены технические (антивирус, межсетевые экраны, системы обнаружения вторжений, резервное копирование, ЗОК) и организационные меры (контроль доступа, обучение персонала, журналы ИБ и т.д.).
  • Назначьте ответственных за ИБ в вашей структуре.
  • Взаимодействуйте с НКЦКИ (негосударственный координационный центр по компьютерным инцидентам ФСБ или ФСТЭК).

7. Организуйте процесс мониторинга и реагирования на инциденты

  • Создайте (или адаптируйте) процедуры мониторинга событий информационной безопасности.
  • Назначьте сотрудников/группу быстрого реагирования.
  • Настройте связь с НКЦКИ для экстренного информирования о компьютерных инцидентах.
  • Готовьте регулярные обучения персонала организации (в том числе административного и технического).

8. Документируйте все мероприятия

  • Ведите журналы аудита, инвентаризации КИИ, обучения персонала.
  • Храните все внутренние приказы, отчёты о тестировании защиты, политики и регламенты.
  • Готовьтесь к плановой/внеплановой проверке ФСТЭК.

9. Реализуйте регулярную оценку защищённости

  • Проводите внутренние аудиты ИБ.
  • Привлекайте внешних специалистов для проведения независимых тестирований (при необходимости).

10. Следите за изменениями в законодательстве

  • Уведомляйте ФСТЭК обо всех изменениях в реестре КИИ (создание/ликвидация объектов, смена категории).
  • Обновляйте внутренние документы и меры защиты с учётом новых приказов и методик ФСТЭК.