Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Безопасность критической информационной инфраструктуры

Основные регуляторы

Основной регулятор – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В связи с введением законодательства полномочия ФСТЭК были расширены. Эта служба контролирует выполнение законодательства в части защиты КИИ.

Минкомсвязь России – регулятор в области связи. Объекты электросвязи также относятся к объектам КИИ.

Центральный Банк РФ регулирует финансовую и банковскую сферу.

В части подключения к ГосСОПКА регулятором является ФСБ России. Предварительное следствие по правонарушениям в области защиты КИИ ведут следователи ФСБ (соответствующие изменения внесены в уголовно-процессуальный кодекс). Все законы, касающиеся безопасности КИИ, были приняты вместе с ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), поправками к ФЗ-194 (изменения в Уголовный кодекс и Уголовно-процессуальный кодекс), ФЗ-193 (законодательство по государственной тайне).

Ответственность

Максимальный срок наказания – до 10 лет лишения свободы в случае инцидента с тяжкими последствиями. До 6 лет – в случае инцидента, следствием которого явилось нарушение правил эксплуатации. Ответственность возлагается как на руководителя, так и на лиц, которые отвечают за безопасность, функционирование объекта, автоматизированных систем управления.

Нормативная база

Был принят целый пакет нормативных актов. Постановление Правительства № 127 (Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений) определяет порядок категорирования КИИ и перечня показателей критериев значимости (их 5). Каждому критерию присваиваются категории значимости (от 1 до 3). В постановлении были также утверждены сферы нарушений.

Способы определения субъектности

Существует 2 способа определения субъектности:

1) Оценка сферы деятельности организации. Если сфера деятельности попадает в 13 сфер деятельности субъекта согласно ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), то мы оцениваем только те информационные системы, которые используются организацией для осуществления этих видов деятельности.

2) Определение, какие информационные системы и АСУ (автоматизированные системы управления) могут осуществлять свои функции в указанных сферах деятельности. Только тогда принимается обоснованное решение о том, попадает организация под действие закона или нет.

Как происходит процесс категорирования объектов КИИ?

В процессе категорирования проверяется важность и значимость объектов. В результате компьютерной атаки на объекты возникают последствия, и масштаб этих последствий оценивается согласно критериям, описанным в Постановлении Правительства № 127. Последствия могут быть в социальной сфере, экологической; они могут влиять на гособоронзаказ.

После категорирования полученные сведения должны быть направлены во ФСТЭК. И ФСТЭК либо соглашается с результатами категорирования, которые произвела организация, и включает эти объекты в перечень объектов КИИ, либо мотивированно отказывает и направляет на доработку.

Сроки

В Постановлении Правительства № 127 определены сроки, в рамках которых должен быть направлен отказ о включении организаций в перечень объектов КИИ, а также сроки повторного направления сведений. Здесь наступает административная ответственность о нарушении сроков и невыполнении предписаний регулятора (штраф до 20 тыс. рублей). Раз в месяц регулятор может такой штраф предъявить до прохождения категорирования.

Первый формальный срок, который определен законодательством, – 1 год с момента определения субъектом перечня, его утверждения и направления во ФСТЭК до момента категорирования. 3 года до начала плановых проверок.

24 апреля 2018 года было принято решение коллегии ФСТЭК о том, что до 1 августа 2018 года необходимо направить перечень объектов и до 1 января 2019 года провести категорирование.

Все ли успели к 1 августа?

Решение коллегии доводилось до организации не напрямую, а через регуляторов «на местах». Иногда информация о сроках попадала в министерство и, оно по нисходящей спускало это в регионы. В регионах эти сроки корректировались. В основном все придерживаются сроков. Но не все органы власти доводят информацию своевременно.

Кто попадает в сферу действия закона?

Вся критическая инфраструктура – это совокупность объектов и сетей электросвязи, которые обеспечивают их взаимодействие.

Субъекты КИИ – государственные органы, учреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности/аренды либо другом законном основании принадлежат объекты, функционирующие в определенной законом сфере.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.

Законом ФЗ-187 определены 13 сфер, в которых могут осуществлять свои функции объекты. Здесь появилось много разночтений. Но на последнем совещании представитель ФСТЭК объяснил, что не совсем корректно идти от сферы действия субъекта, которая указана в его уставе. Необходимо выявлять информационные системы, сети и автоматизированные системы управления, которые могут функционировать в указанных законом сферах. Только тогда принимать решение о том, попадает организация в сферу действия закона или нет.

Какие документы необходимо направить во ФСТЭК?

  • Перечень объектов в свободной форме. В настоящее время идут обсуждения, в какой именно.
  • Форма направления сведений во ФСТЭК определена указом ФСТЭК № 236. Отправляются как сведения о всех категорированных объектах, так и некатегорийных объектах. Результатом категорирования является акт категорирования объекта, утверждаемый субъектом. Этот акт хранится у субъекта до истечения срока категорирования либо вывода объекта из эксплуатации. Сроки категорирования, согласно законодательству, положено один раз в 5 лет пересматривать.
  • Модель угроз и нарушителей. База для дальнейшего построения защиты.
  • Создание системы защиты объектов. ФСТЭК утвердил два приказа: приказ № 235 (описывает создание системы защиты, требования к персоналу, регулярности мероприятий по безопасности) и № 239 (базовый набор мер по защите объектов КИИ).

Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?

Идем в ногу с США. Там также определяются критически важные отрасли. Назначаются регуляторы. Сталкиваются с такими же проблемами категорирования объектов. Разрабатываются требования по категорированию. Но все же наши подходы отличаются.

В Германии существует практика защиты объектов ядерной энергетики. Головным регулятором выступает МАгАтЭ (Международное агентство по атомной энергии). Каждая страна Евросоюза дополнительно внутри страны разрабатывает свое законодательство. Поэтому за ними трудно уследить, если ты не ведешь деятельность в этой стране.

Новости, истории и события
Смотреть все
Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний
Новости

Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний

18.07.2025

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке
Новости

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке

17.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM

17.07.2025

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft
Новости

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft

16.07.2025

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)

16.07.2025

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга
Новости

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга

15.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем

14.07.2025

ГК Softline и компания TData стали партнерами
Новости

ГК Softline и компания TData стали партнерами

14.07.2025

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT
Новости

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT

11.07.2025

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа
Новости

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа

11.07.2025

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании
Новости

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании

10.07.2025

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»
Новости

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»

10.07.2025

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform
Новости

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform

09.07.2025

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже
Новости

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже

08.07.2025

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)

08.07.2025

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»
Новости

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»

07.07.2025

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач
Новости

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач

07.07.2025

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач
Новости

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач

04.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться