С 1 января 2018 года вступил в силу ФЗ-187 «О безопасности критической информационной инфраструктуры». В соответствии со ст.2 п.8 к субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Федеральным органом исполнительной власти в области обеспечения безопасности КИИ определена Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК).
Федеральным органом исполнительной власти в области взаимодействия с государственной системой обнаружения и предотвращения кибер-атак определена Федеральная Служба Безопасности (ФСБ).
С начала года ФСТЭК и ФСБ провели разработали нормативно-правовую документацию, в том числе регламентов, порядков и правил, приказов и распоряжений, определив методику работ по защите объектов КИИ, принадлежащих субъектам.
Однако здесь и начинаются уже первые «проблемы», так как специалисты по информационной безопасности и сами предприятия путаются в том, кто является субъектом КИИ. Специалисты компании Арман рекомендуют обращать внимание на коды ОКВЭД предприятия и наличие систем АСУ ТП для определения принадлежности к субъекту КИИ.
Регулятор либерален в отношении потенциальных субъектов КИИ. Предприятиям предлагается самостоятельно пройти процедуру категорирования, определив, относится ли инфраструктура к значимым объектам КИИ.
Постановление правительства №127 от 8 февраля 2018 года утверждает правила категорирования объектов КИИ, а также перечень критериев значимости объектов КИИ. Согласно п.11 ПП №127 для проведения категорирования решением руководителя субъекта КИИ создается комиссия. В состав входят должностные лица, отвечающие за функционирование объекта.
У компаний возникают сложности в расчете показателей значимости, так как у каждого должностного лица, свои взгляды на значение показателя. Специалисты компании Арман рекомендуют привлекать профильные компании с компетенциями по защите информации, для консультации на этапе категорирования объекта КИИ.
Результаты категорирования лягут в основу ряда мероприятий по защите объекта КИИ.
В зависимости от категории значимости объекта КИИ, субъект КИИ выполняет установленные ФСТЭК требования по обеспечению безопасности значимого объекта КИИ. В случае, если предприятие не попадает ни под одну категорию значимости, оно должно заниматься вопросами обеспечения информационной безопасности с менее жесткими требованиями.
По мнению специалистов компании Арман, преимуществом, в вопросах обеспечения информационной безопасности на предприятии, обладают «ИТ-развитые» предприятия, для которых ФЗ-187 — логическое и методическое продолжение целенаправленной цифровизации предприятия, с учетом современных ИТ-угроз.
Опыт подсказывает, что многие «субъекты» откладывали вопросы информационной безопасности в «далекий ящик» последние годы, обосновывая это тем, что нет соответствующего законодательства и нормативно-правовой базы. И теперь, когда эта база появилась, предстоит пройти «большой путь к ИБ» за короткий срок. Предприятиям, которые заранее «выбрали Безопасность», остается формализовать результаты деятельности по обеспечению безопасности информации и включиться в реестр объектов КИИ.
В заключении отметим, что в отличии от других «аналогичных» законов, требующих обеспечения безопасности информации, наряду со вступлением в силу ФЗ-187 произошли изменения в Уголовном Кодексе РФ. Введена статья 274.1 УК РФ — «Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации».
Изменение в УК РФ говорит о серьезных намерениях государства «навести порядок» в значимых для экономики страны отраслях и об ответственности должностных лиц, руководящих предприятиями.
Уважаемые партнеры компании Арман, приглашаем вас принять участие в бесплатном вебинаре у нашего эксперта по вопросам информационной безопасности Максима Акимова на тему: ФЗ-187 «О безопасности критической информационной инфраструктуры»
Ссылка: http://arman-engineering.ru/info_center/seminars/
m.akimov@arman-engineering.ru
+7 (812) 449-56-20 добавочный 308
