Поиск
Москва
Мероприятия
Блог
Корзина
Регистрация Войти
8 (800) 232-0023
8 (495) 033-2222 info@softline.com
Москва
Поиск
Блог
Корзина
Регистрация Войти
8 (800) 232-0023 8 (800) 232-0023
main-bg

Защита объектов критической информационной инфраструктуры

Сферы деятельности, относящиеся к КИИ

Бесперебойная работа информационных систем в ключевых отраслях — основа стабильности экономики и социальной сферы. Законодательство устанавливает строгие требования к их безопасности, так как сбои могут привести к серьезным последствиям. Мы поможем разобраться с требованиями 187-ФЗ, правильно категорировать объекты КИИ и подобрать эффективные средства защиты, тобы инфраструктура организации работала без рисков и нарушений.

*перечень из ст. 2 ФЗ-187

Здравоохранение Здравоохранение Образование Наука Транспорт Транспорт Связь Связь Энергетика Энергетика Государственная регистрация прав на недвижимость Государственная регистрация прав на недвижимость Банковская сфера и иные сферы финансового рынка Банковская сфера и иные сферы финансового рынка Топливно-энергетический комплекс Топливно-энергетический комплекс Атомная энергия Атомная энергия Оборонная промышленность Оборонная промышленность Металлургическая промышленность Металлургическая промышленность Горнодобывающая промышленность Горнодобывающая промышленность

Что будет, если проигнорировать 187-ФЗ?

Штрафы

Санкции до 500 тыс. рублей для должностных лиц и до 1 млн рублей для юрлиц.

Дисквалификация

Отстранение руководителя от должности на срок до 5 лет.

Конфискация

Изъятие доходов виновного лица за период от 1 года до 3 лет.

Остановка деятельности

Деятельность объекта могут приостановить по решению суда.

Репутационные потери

Неспособность обеспечить кибербезопасность отпугнет партнеров и клиентов.

Стоимость услуг

  • Консультация

    Бесплатно

    Задайте нам любой вопрос, касающийся выполнения требований 187-ФЗ и подзаконных актов, или запросите звонок эксперта.

  • Определение принадлежности к субъектам КИИ

    От 180 тыс. руб.

    Услуга актуальна для организаций, которые сомневаются, относятся ли они к субъектам КИИ и есть ли необходимость выполнять требования 187-ФЗ.

    Состав услуги

    • Проанализируем учредительную документацию и бизнес-процессы организации для выявления ОКВЭД, подпадающих под действие 187-ФЗ.
    • Определим объекты КИИ, подлежащие категорированию, основываясь на принципе минимизации.

    Результат

    • Заключение об отсутствии у организации субъектности КИИ.

    или

    • Приказ о создании комиссии по категорированию.
    • Положение о комиссии по категорированию.
    • Акт об отсутствии в организации объектов КИИ.

    или

    • Приказ о создании комиссии по категорированию.
    • Положение о комиссии по категорированию.
    • Перечень объектов КИИ, подлежащих категорированию.

  • Категорирование объектов КИИ

    От 240 тыс. руб.

    Состав работ

    • Соберем данные об объектах КИИ, необходимых для категорирования, в очном или дистанционном формате.
    • Оценим возможные угрозы, вероятность наступления компьютерных инцидентов, а также масштаб и последствия в результате их наступления.
    • Оформим комплект документов по категорированию с учетом действующего законодательства, отраслевых особенностей категорирования и накопленного опыта.
    • Сопроводим процесс согласования результатов категорирования со ФСТЭК России.

    Результат

    • Перечень объектов КИИ.
    • Приказ о создании комиссии по категорированию объектов КИИ.
    • Акт категорирования объекта (объектов) КИИ.
    • Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (для отправки во ФСТЭК России).

  • Повторное категорирование объекта КИИ с целью снижения или отказа от категории

    От 400 тыс. руб.

    Услуга может быть актуальна для организаций, предполагающих завышение категории объекта КИИ при первичном категорировании.

    Состав работ

    • Соберем сведения об объекте КИИ:
      • автоматизируемые бизнес и/или технологические процессы;
      • архитектуру объекта КИИ;
      • взаимодействие объекта КИИ с другими системами;
      • реализованные организационные и технические меры.
    • Изучим техническую и организационно-распорядительную документацию об объекте КИИ, включая документы, регламентирующие порядок восстановления объекта в случае инцидента.
    • Проанализируем модель угроз и декларацию промышленной безопасности.
    • Проведем повторное категорирование объекта КИИ при наличии аргументации для снижения или отказа от категории (при наличии достаточных аргументов).
    • Сопроводим согласование результатов повторного категорирования со ФСТЭК России.

    Результат

    • Протоколы заседаний комиссии по категорированию для обоснования снижения категории объекта КИИ.
    • Скорректированная модель угроз (при необходимости).
    • Акт категорирования объекта КИИ.
    • Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
    • Сопроводительное письмо для направления во ФСТЭК России.

  • Выстраивание процесса работы комиссии по категорированию

    От 300 тыс. руб.

    Услуга может быть актуальна для организаций с большим количеством постоянно меняющихся объектов КИИ. В такой ситуации логичным вариантом будет усиление экспертизы комиссии по категорированию и выстраивание процесса самостоятельного категорирования.

    Состав работ

    • Разработаем методические рекомендации по выстраиванию процесса категорирования с учетом действующего законодательства и отраслевых особенностей категорирования объектов КИИ.
    • Разработаем план работы комиссии (комиссий) по категорированию объектов КИИ.
    • Ознакомим участников комиссии с методическими рекомендациями и планом работы.
    • Ознакомим участников комиссии с целями и задачами по категорированию.
    • Разъясним процедуры категорирования в соответствии с методическими рекомендациями, действующим законодательством и отраслевыми особенностями по категорированию
    • Проведем занятия по категорированию с участниками комиссии на примере одной ИС и одной АСУ ТП.
    • Проанализируем данные по итогам занятия и ответим на вопросов участников комиссии по категорированию.

    Результат

    • Сформированные методические рекомендации по выстраиванию процесса работы комиссии по категорированию.
    • Апробированные методические рекомендации.
    • Пакет часов экспертов для консультаций по спорным вопросам (опционально).

  • Аудит выполнения требований по безопасности объектов КИИ

    От 420 тыс. руб.

    Услуга актуальна для организаций, заинтересованных в независимой оценке текущей ситуации и получении приоритизированного плана действий по выполнению требований законодательства.

    Состав работ

    • Соберем сведения об объекте КИИ:
      • автоматизируемые бизнес и/или технологические процессы;
      • архитектуру объекта КИИ;
      • взаимодействие объекта КИИ с другими системами;
      • реализованные организационные и технические меры.
    • Изучим техническую и организационно-распорядительную документацию об объекте КИИ, включая документы, регламентирующие порядок восстановления объекта в случае инцидента.
    • Проведем анализ выполнения требований законодательства РФ по обеспечению безопасности ОКИИ.
    • Подготовим рекомендации по исправлению выявленных недостатков.

    Результат

    • Отчет об аудите, включающий анализ выполнения требований законодательства РФ по обеспечению безопасности КИИ и рекомендации по устранению выявленных нарушений.

  • Моделирование угроз

    От 300 тыс. руб.

    Состав работ

    • Сгруппируем объекты КИИ по структурно-функциональным признакам (опционально).
    • Определим характеристики и категории нарушителей, их потенциал и возможности по реализации угроз в отношении каждой группы объектов КИИ.
    • Проведем анализ возможных угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов в каждой группе объектом КИИ;
    • Проанализируем техники и тактики нарушителей, оценим вероятность реализации угроз;
    • Сформируем итоговый перечень актуальных угроз для каждой группы объектов.

    Результат

    • Модели угроз безопасности для каждого значимого объекта КИИ или каждой группы значимых объектов КИИ.

  • Формирование требований к системе обеспечения информационной безопасности объектов КИИ

    От 220 тыс. руб.

    Состав работ

    • Определим назначение и цели создания системы обеспечения безопасности значимых объектов КИИ.
    • Сформируем требования, предъявляемые как к системе обеспечения безопасности в целом, так и к функциональным подсистемам защиты информации.
    • Сформируем итоговый набор мер, необходимый для выполнения требований законодательства и нейтрализации актуальных угроз безопасности информации.
    • Определим классы средств защиты, необходимых к внедрению, и требования по их сертификации.

    Результат

    • Техническое задание на систему обеспечения безопасности значимых объектов КИИ.

  • Проектирование системы обеспечения информационной безопасности объектов КИИ

    От 600 тыс. руб.

    Состав работ

    • Подготовим предложения по составу средств защиты информации системы обеспечения безопасности ЗОКИИ;
    • Разработаем документы, определяющие конфигурацию, настройки и порядок внедрения СОИБ ЗОКИИ, согласно требованиям технического задания на создание такой системы.

    Результат

    • Ведомость технического проекта.
    • Пояснительная записка к техническому проекту.
    • Схема структурная комплекса технических средств.
    • Описание комплекса технических средств.
    • Ведомость покупных изделий (спецификация).
    • Схема расположения оборудования в серверных стойках.

  • Разработка внутренних нормативных документов по обеспечению безопасности объектов КИИ

    От 400 тыс. руб.

    Состав работ

    • Проанализируем утвержденные документы, регламентирующие ИТ и ИБ-процессы.
    • Проведем обследование текущих процессов обеспечения безопасности объектов КИИ.
    • Разработаем проекты организационно-распорядительных документов (или предложения по доработке существующих), необходимых для выполнения требований законодательства РФ по обеспечению безопасности ЗОКИИ с учетом специфики организации.

    Результат

    • Приказ «О назначении ответственного за обеспечение информационной безопасности»;
    • Положение о заместителе генерального директора, ответственном за обеспечение информационной безопасности;
    • Положение о структурном подразделении, обеспечивающем информационную безопасность;
    • Приказ «О создании постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры и об утверждении документов, регламентирующих обеспечение безопасности объектов критической информационной инфраструктуры»;
    • Политика обеспечения безопасности значимых объектов критической информационной инфраструктуры;
    • Положение об идентификации и аутентификации на значимых объектах критической информационной инфраструктуры;
    • Положение об управлении доступом к значимым объектам критической информационной инфраструктуры;
    • Положение о правилах и процедурах ограничения программной среды в значимых объектах критической информационной инфраструктуры;
    • Положение о защите машинных носителей информации в значимых объектах критической информационной инфраструктуры;
    • Положение об аудите безопасности значимых объектов критической информационной инфраструктуры;
    • Регламент по выявлению, анализу и устранению критичных уязвимостей в объектах критической информационной инфраструктуры;
    • Положение об антивирусной защите значимого объекта критической информационной инфраструктуры;
    • Положение о предотвращении вторжений (компьютерных атак) на значимые объекты критической информационной инфраструктуры;
    • Положение об обеспечении целостности значимых объектов критической информационной инфраструктуры;
    • Положение об обеспечении доступности значимых объектов критической информационной инфраструктуры;
    • Положение о защите технических средств и систем ЗОКИИ;
    • Положение о правилах и процедурах реагирования на компьютерные инциденты в ЗОКИИ;
    • Положение об управлении конфигурацией ЗОКИИ;
    • Регламент по анализу и установке обновлений безопасности программных, программно-аппаратных средств ОКИИ;
    • Положение о защите информационных (автоматизированных) систем и ее компонентов ЗОКИИ.
    • Положение о правилах и процедурах планирования мероприятий по обеспечению защиты информации в ЗОКИИ.
    • Положение об управлении обновлениями программного обеспечения ОКИИ и средств защиты информации.
    • Положение об обеспечении действий в нештатных ситуациях на ЗОКИИ.
    • Положение о правилах и процедурах информирования и обучения персонала, эксплуатирующего и обеспечивающего функционирование ЗОКИИ.
    • Регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах.
    • План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
    • График тренировок по отработке мероприятий плана реагирования на компьютерные инциденты.
    • Шаблон сопроводительного письма о направлении на согласование проекта Плана реагирования на КИ и принятия мер по ликвидации последствий компьютерных атак в адрес НКЦКИ.
    • Инструкция должностного лица, ответственного за обеспечение безопасности ЗОКИИ.
    • Инструкция персонала, эксплуатирующего и обеспечивающего функционирование ЗОКИИ.
    • Инструкция сотрудника структурного подразделения, ответственного за обеспечение безопасности ЗОКИИ.
    • Регламент повышения уровня безопасности информационных ресурсов..
    • Порядок вывода из эксплуатации значимого объекта критической информационной инфраструктуры.
    • Регламент резервного копирования и восстановления значимого объекта критической информационной инфраструктуры.

  • Внедрение средств защиты информации

    Рассчитывается индивидуально

    Состав работ

    • Настроим встроенные механизмы защиты операционных систем, прикладного ПО, в т.ч. ПО программируемых логических контроллеров.
    • Настроим наложенные средства защиты.
    • Просканируем на уязвимости компоненты объектов КИИ и системы ИБ.
    • Устраним выявленные уязвимости.
    • Проведем комплексные испытания системы ИБ.
    • Окажем техническую поддержку системы.

    Результат

    • Настроенные средства защиты информации.

  • Харденинг ИТ-инфраструктуры объектов КИИ

    Рассчитывается индивидуально

    Состав работ

    • Обследуем ИТ-инфраструктуру объектов КИИ.
    • Сформируем требования к безопасной конфигурации.
    • Формализуем подходы и настройки.
    • Применим настройки безопасности в ИТ-инфраструктуре объектов КИИ.

    Результат

    • Стандарт базовой безопасности конфигурации.
    • Наборы настроек безопасной конфигурации.
    • Руководство по применению настроек безопасной конфигурации.
    • Примененные настройки базовой безопасной конфигурации для систем в рамках проекта.

  • Оценка соответствия системы защиты информации

    От 600 тыс. руб.

    Состав работ

    • Подтвердим эффективность принятых мер по защите информации в форме оценки соответствия (упрощенная процедура) или в форме аттестации:
      • разработаем программу и методики проведения оценки эффективности;
      • проведем оценку эффективности;
      • оформим результат оценки для предоставления регуляторам, партнерам и клиентам.

    Результат

    • Программа и методики проведения оценки эффективности / аттестационных испытаний;
    • Протоколы по результатам оценки эффективности / аттестационных испытаний;
    • Заключение по результатам оценки эффективности / аттестат соответствия.

  • Сопровождение проверки регулятора

    От 300 тыс. руб.

    Состав работ

    • Подготовка к проверке: сбор необходимых документов и свидетельств, доработка документации (опционально).
    • Очное или удаленное сопровождение проверки регулятора (Роскомнадзор, ФСТЭК России, ФСБ России) с оперативной отработкой замечаний.
    • Подготовка рекомендаций по исправлению замечаний (при их наличии) после проверки.

    Результат

    • Проверка без замечаний или с их минимальным количеством.

Наши эксперты

Эксперт Людмила Бичан

Людмила Бичан

Опыт в сфере ИБ

  • Профессиональный опыт в области ИБ с 2021 год

Компетенции

  • Аудиты по требованиям безопасности КИИ (152-ФЗ, 187-ФЗ, приказы ФСТЭК России № 21, 31, 239, 250 Указ Президента РФ и т.д.) для заказчиков из сферы здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, горнодобывающей промышленности
  • Разработка организационно-распорядительной документации
  • Категорирование ОКИИ
  • Моделирование угроз безопасности информации

Формирование требований к системе безопасности

Повышение квалификации Диплом
Фото эксперта Гульназ Гарифуллина

Гульназ Гарифуллина

Опыт в сфере ИБ

  • Профессиональный опыт в области ИБ с 2022 года

Компетенции

  • Аудиты соответствия требованиям законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
  • Комплексные аудиты ИБ

Разработка документации (МУ, ТЗ, ОРД) по приведению СОИБ в соответствие требованиям законодательства

Повышение квалификации
Эксперт Александр Метальников

Александр Метальников

Опыт в сфере ИБ

  • Профессиональный опыт в области ИБ с 2008 года

Компетенции

  • Аудиты выполнения требований законодательства (152-ФЗ, 187-ФЗ, приказы ФСТЭК № 21, 17, 239, 250 Указ Президента РФ и т.д.)
  • Комплексные аудиты ИБ
  • Разработка документации (МУ, ТЗ, ОРД, ТЭО) по приведению СОИБ в соответствие требованиям законодательства

Проведение аттестаций объектов информатизации

Лицензии

Лицензия ФСТЭК Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации Лицензия ФСБ Лицензия ФСБ России на деятельность с шифровальными (криптографическими) средствами

Благодарственные письма

Производитель радиоэлектроники Приборостроительный завод Спутниковая система связи Производитель удобрений Производитель ядерного топлива Нефтеперерабатывающий завод Производитель внедорожной техники Телекоммуникационная компания Гидроэлектростанция Медицинское учреждение

FAQ

  • Кто является субъектом КИИ?

    К субъектами КИИ относятся российские юридические лица и государственные органы и учреждения, которым на праве собственности или аренды принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в ключевых отраслях. К таким отраслям относятся здравоохранение, транспорт, энергетика, связь, финансы, оборонно-промышленный комплекс, атомная энергия, горнодобывающая и химическая промышленность и другие.

  • Что относится к объектам КИИ и какие системы необходимо категорировать?

    К объектам КИИ относятся три группы систем:

    информационные системы;

    информационно-телекоммуникационные сети;

    автоматизированные системы управления.

    Эти объекты должны принадлежать субъектам КИИ и функционировать в таких сферах, как здравоохранение, наука, транспорт, энергетика, связь и других ключевых отраслях экономики. Необходимо категорировать те объекты КИИ, которые соответствуют типам систем, включенным в перечни типовых отраслевых объектов КИИ.

  • Что такое категорирование?

    Категорирование — это обязательная процедура для субъектов КИИ, в ходе которой определяется уровень критической важности их информационных систем, сетей и систем управления. Этот процесс включает:

    Выявление ИС, ИТС и АСУ, которые соответствуют типовым объектам КИИ из отраслевых списков.

    Оценку объектов КИИ по утвержденным регулятором критериям значимости, которые зависят от масштаба предполагаемых последствий от потенциальных инцидентов ИБ.

    Присвоение категории значимости объекту по результатам оценки. В некоторых случаях может быть принято решение, что нет необходимости присваивать объекту ту или иную категорию, если уровень значимости не достиг пороговых значений.

  • Какие мероприятия необходимо провести в рамках категорирования и с чего начать?

    Процедура категорирования включает следующие этапы:

    Формирование комиссии по категорированию.

    Выявление комиссией систем и сетей, соответствующих типовым объектам КИИ, включенным в перечни типовых отраслевых объектов КИИ.

    Анализ угроз безопасности информации и оценка масштаба возможных последствий потенциальных компьютерных инцидентов в соответствии с перечнем показателей критериев значимости.

    Присвоение каждому из объектов КИИ категории значимости или принятие решение, что нет необходимости присваивать ту или иную категорию.

    Подготовка акта категорирования по итогами работы комиссии.

    Отправка результатов категорирования во ФСТЭК России в течение 10 рабочих дней со дня утверждения акта категорирования.

    Организация хранения акта до вывода из эксплуатации объекта КИИ или до изменения категории значимости.

  • Каких специалистов необходимо включить в состав комиссии по категорированию?

    Согласно п.11 постановления правительства № 127 от 8 февраля 2018 г. в состав постоянной комиссии по категорированию должны входить:

    Руководитель субъекта КИИ.

    Технические специалисты в области ИТ и связи, промышленной безопасности, эксплуатации оборудования, контроля и учета опасных веществ и др.

    Специалисты, ответственные за обеспечение безопасности, в первую очередь, информационной.

    Сотрудники подразделения по защите государственной тайны, если организация обрабатывает такую информацию.

    Специалисты по гражданской обороне и чрезвычайным ситуациям.

    По решению руководителя и с учетом отраслевой специфики в состав комиссии также могут входить специалисты из других сфер, если в этом есть необходимость.

  • Необходимо ли направлять сведения о результатах категорирования в связи с изменениями в приказе ФСТЭК России № 236?

    Необходимо направить обновленные сведения о результатах категорирования в соответствии с п.19.1 Правил категорирования объектов КИИ во ФСТЭК России. При этом, сведения направляются в электронном и печатном виде не позднее 20 рабочих дней со дня их изменения.

  • Есть ли возможность изменить категорию значимости объектов КИИ?

    Да, категорию значимости можно изменить. Случаи, когда это возможно, перечислены в п.12 ст. 7 187-ФЗ:

    По решению контролирующего органа (ФСТЭК) по итогам проверки в рамках государственного контроля за безопасностью объектов КИИ.

    В связи с изменениями самого объекта КИИ, в результате которых он перестал соответствовать критериям и показателям значимости, на основании которых ему была первоначально присвоена категория.

    В случае ликвидации, реорганизации или смены организационно-правовой формы организации, если это привело к изменению или утрате признаков субъекта КИИ.

  • Возможно ли привлечь стороннюю компанию для возложения обязанностей по информационной безопасности в рамках Указа Президента РФ № 250?

    Нет, требования указа президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» не предусматривают возможность передать обязанности по обеспечению информационной безопасности внешним исполнителям. На стороне субъекта КИИ должны быть четко определены и закреплены функциональные обязанности, полномочия и зоны ответственности, связанные с ИБ. В такой организации должно быть отдельное подразделение по вопросам ИБ и заместитель руководителя по ИБ.

  • Возможно ли снижение категории объекта КИИ, если при первоначальном категорировании она была завышена?

    Да, снижение категории объекта КИИ возможно, если при первоначальном категорировании были допущены ошибки или произошли изменения, влияющие на критерии. Но процесс может быть длительным и требует тщательной подготовки и убедительной аргументации.

    Основания для пересмотра и снижения категории

    Исправление ошибок первоначального категорирования:

    Если в процессе категорирования были неверно оценены значимость объекта для жизнеобеспечения, обороны, безопасности государства, или стабильности экономики.

    Если были некорректно применены критерии значимости (социальная, политическая, экономическая, экологическая значимость, а также значимость для обороны, безопасности и правопорядка).

    Если выявлено, что отнесение к определенной категории было основано на устаревших или ошибочных данных.

    Изменение фактических обстоятельств:

    Сокращение масштабов деятельности объекта, изменение его функций, что снижает его значимость по установленным критериям.

    Модернизация, в результате которой уменьшилась потенциальная зона негативных последствий от инцидента (например, внедрение изолированных резервных систем, дублирование на другие объекты).

    Изменение законодательства, уточняющего или изменяющего критерии категорирования.

    Каков порядок снижения категории КИИ?

    Процедура регламентирована Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры» и приказом ФСТЭК России № 235.

    Инициация субъектом КИИ. Собственник или владелец объекта КИИ готовит обоснование с указанием причин и доказательств необходимости пересмотра категории.

    Обращение в уполномоченный орган. Материалы направляются во ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – основной орган, осуществляющий категорирование.

    Проведение проверки и анализ. ФСТЭК рассматривает представленные материалы, при необходимости запрашивает дополнительную информацию и проводит собственную оценку.

    Принятие решения:

    Если доводы признаны обоснованными, ФСТЭК принимает решение об изменении категории (включая ее снижение) и вносит соответствующие изменения в реестр значимых объектов КИИ.

    Выдается новое уведомление об отнесении объекта КИИ к определенной категории (или об отсутствии категории).