Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Содержание
Содержание
Что такое КИИ?
Что такое КИИ? КИИ это в сфере безопасности информации ― критическая информационная инфраструктура. Т. е. из определения видно, что значимость ее корректного функционирования велика, а сбои могут повлечь серьезные последствия.
На последнем хочу акцентировать внимание. Здесь речь идет о том, что инциденты ИБ могут повлечь причинение ущерба жизни и здоровью граждан, экологии, стабильности функционирования государства. Степень возможного ущерба в дальнейшем влияет и на категорию значимости.
На последнем хочу акцентировать внимание. Здесь речь идет о том, что инциденты ИБ могут повлечь причинение ущерба жизни и здоровью граждан, экологии, стабильности функционирования государства. Степень возможного ущерба в дальнейшем влияет и на категорию значимости.
Что такое КИИ в сфере информационной безопасности
Работа КИИ и ее ИБ влияет на жизни и здоровью граждан, экологии, стабильности функционирования государства. Имеет следующую значимость:
Разберемся, что же это такое ― критическая информационная инфраструктура. Изначально законодательство определило 13 значимых (ключевых) сфер, воздействие на ИС которых может с большей долей вероятности нанести тот самый ущерб.
Сама КИИ — это совокупность объектов (проще скажем, ИС), которые находятся в ведении субъекта КИИ.
Субъекты критической информационной инфраструктуры (КИИ) — это лица, которые имеют в своем ведении (владеют или арендуют) объекты КИИ.
Что такое объект КИИ (критической информационной инфраструктуры)? Это совокупность ИС, ИТКС и АСУ, которые автоматизирую бизнес- процессы Компании.
Это базовая терминология главного ФЗ № 187. Именно этот ФЗ регламентирует требования как к субъектам КИИ, так и к их объектам.
Этот же ФЗ определяет необходимость проведения категорирования объектов КИИ. То есть определения тех ИС, нарушение защищенности которых может привести к негативным последствиям.
- Социальная значимость
- Политическая значимость
- Экономическая значимость
- Экологическая значимость
- Значимость для обороны страны
Разберемся, что же это такое ― критическая информационная инфраструктура. Изначально законодательство определило 13 значимых (ключевых) сфер, воздействие на ИС которых может с большей долей вероятности нанести тот самый ущерб.
Сама КИИ — это совокупность объектов (проще скажем, ИС), которые находятся в ведении субъекта КИИ.
Субъекты критической информационной инфраструктуры (КИИ) — это лица, которые имеют в своем ведении (владеют или арендуют) объекты КИИ.
Что такое объект КИИ (критической информационной инфраструктуры)? Это совокупность ИС, ИТКС и АСУ, которые автоматизирую бизнес- процессы Компании.
Это базовая терминология главного ФЗ № 187. Именно этот ФЗ регламентирует требования как к субъектам КИИ, так и к их объектам.
Этот же ФЗ определяет необходимость проведения категорирования объектов КИИ. То есть определения тех ИС, нарушение защищенности которых может привести к негативным последствиям.
Нормативно-правовая база и ключевые определения КИИ
Чтобы глубже понять, что такое КИИ (критическая информационная инфраструктура), необходимо обратиться к первоисточникам. Основополагающим документом является Федеральный закон № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации». Именно этот закон закрепил базовые понятия и установил правовые рамки для всех участников процесса обеспечения безопасности КИИ.
Согласно закону, КИИ — это совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия таких объектов. Иными словами, речь идет о целой экосистеме информационных ресурсов, от бесперебойной работы которых зависит функционирование ключевых отраслей экономики и государственного управления.
Законодатель четко определил, что критическая информационная инфраструктура — это не абстрактное понятие, а вполне конкретный перечень систем и сетей, задействованных в стратегически важных сферах деятельности. К таким сферам относятся: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная и ракетно-космическая промышленность, горнодобывающая, металлургическая и химическая промышленность.
Примеры значимых объектов критической информационной инфраструктуры в разных сферах ― это:
При этом важно разграничивать понятия субъекта и объекта. Объект критической информационной инфраструктуры (КИИ) — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. То есть это конкретные технические решения — программно-аппаратные комплексы, которые обеспечивают выполнение критических процессов организации.
Для многих специалистов, впервые столкнувшихся с этой темой, остается актуальным вопрос: критическая инфраструктура (КИИ) — что это на практике? Это могут быть системы управления технологическими процессами на производстве, медицинские информационные системы, АСУ ТП электростанций, банковские процессинговые центры, системы управления воздушным движением и многое другое. Объединяет их одно — нарушение их работы способно причинить значительный ущерб.
Помимо основного закона, сфера КИИ регулируется целым комплексом подзаконных актов. Постановление Правительства РФ № 127 от 8 февраля 2018 года устанавливает правила категорирования объектов КИИ и перечень показателей критериев значимости. Приказы ФСТЭК России № 235 и № 239 определяют требования к созданию систем безопасности значимых объектов и меры по обеспечению их безопасности соответственно. Приказы ФСБ России регламентируют порядок информирования о компьютерных инцидентах и взаимодействия с ГосСОПКА.
Отдельно стоит отметить, что с 2022 года законодательство в сфере КИИ претерпело существенные изменения. Указ Президента РФ № 250 от 1 мая 2022 года ввел дополнительные требования к обеспечению информационной безопасности, в том числе персональную ответственность руководителей организаций за состояние защиты КИИ. Также был установлен запрет на использование средств защиты информации из недружественных государств на значимых объектах КИИ с 2025 года, что стимулирует переход на отечественные решения.
Понимание нормативной базы особенно важно для корректного выполнения требований законодательства. Ошибки в трактовке определений или незнание актуальных изменений могут привести к неправильному категорированию объектов, неполному выполнению требований безопасности и, как следствие, к санкциям со стороны регуляторов.
Согласно закону, КИИ — это совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия таких объектов. Иными словами, речь идет о целой экосистеме информационных ресурсов, от бесперебойной работы которых зависит функционирование ключевых отраслей экономики и государственного управления.
Законодатель четко определил, что критическая информационная инфраструктура — это не абстрактное понятие, а вполне конкретный перечень систем и сетей, задействованных в стратегически важных сферах деятельности. К таким сферам относятся: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная и ракетно-космическая промышленность, горнодобывающая, металлургическая и химическая промышленность.
Примеры значимых объектов критической информационной инфраструктуры в разных сферах ― это:
- В медицинской сфере — цифровые рентгены, КТ, МРТ аппараты.
- В банках — это система дистанционного банковского обслуживания.
- У фармакологических компаний такими ИС могут быть — системы по производству лекарств, учету сырья.
- У промышленных систем — это в первую очередь те ИС, которые отвечают за производственные процессы, нарушение и сбои, которые могут привести к человеческим и экологическим потерям.
При этом важно разграничивать понятия субъекта и объекта. Объект критической информационной инфраструктуры (КИИ) — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. То есть это конкретные технические решения — программно-аппаратные комплексы, которые обеспечивают выполнение критических процессов организации.
Для многих специалистов, впервые столкнувшихся с этой темой, остается актуальным вопрос: критическая инфраструктура (КИИ) — что это на практике? Это могут быть системы управления технологическими процессами на производстве, медицинские информационные системы, АСУ ТП электростанций, банковские процессинговые центры, системы управления воздушным движением и многое другое. Объединяет их одно — нарушение их работы способно причинить значительный ущерб.
Помимо основного закона, сфера КИИ регулируется целым комплексом подзаконных актов. Постановление Правительства РФ № 127 от 8 февраля 2018 года устанавливает правила категорирования объектов КИИ и перечень показателей критериев значимости. Приказы ФСТЭК России № 235 и № 239 определяют требования к созданию систем безопасности значимых объектов и меры по обеспечению их безопасности соответственно. Приказы ФСБ России регламентируют порядок информирования о компьютерных инцидентах и взаимодействия с ГосСОПКА.
Отдельно стоит отметить, что с 2022 года законодательство в сфере КИИ претерпело существенные изменения. Указ Президента РФ № 250 от 1 мая 2022 года ввел дополнительные требования к обеспечению информационной безопасности, в том числе персональную ответственность руководителей организаций за состояние защиты КИИ. Также был установлен запрет на использование средств защиты информации из недружественных государств на значимых объектах КИИ с 2025 года, что стимулирует переход на отечественные решения.
Понимание нормативной базы особенно важно для корректного выполнения требований законодательства. Ошибки в трактовке определений или незнание актуальных изменений могут привести к неправильному категорированию объектов, неполному выполнению требований безопасности и, как следствие, к санкциям со стороны регуляторов.
КИИ или не КИИ вот в чем вопрос?
Для того, чтобы понять есть КИИ или нет, что это в вашем случае, нужно определить сферу деятельности Компании: самое простое — это по ОКВЭДам, но также нужно учитывать, лицензии, уставы, иные документы, в которых описана деятельность вашей компании.
Здесь необходимо смотреть В СОВОКУПНОСТИ, входит ли данная деятельность в эти 13 сфер или нет. Если входит, то переходим к инвентаризации систем. Не каждая система будет являться объектом критической информационной инфраструктуры, а только та, с помощью которой вы осуществляете критический процесс.
Хороший пример, который встретился на практике, это включение в перечень объектов КИИ медицинской организации 1С Кадры или Бухгалтерия, которая явно не осуществляет критический процесс — оказание медицинской помощи.
Как видите из схемы, которая приведена ниже, процесс категорирования непростой, здесь понадобится создать комиссию по категорированию, понять процессы, выявить критические процессы. Что сделать далее? Это сформировать перечень объектов критической информационной инфраструктуры, утвердить перечень этих объектов, собрать данные для категорирования (это и финансовые данные по деятельности Компании, и технические данные об ИС, провести моделирование угроз, оценить последствия от возможных инцидентов. На основании полученных данных сделать вывод о необходимости присвоения категории и оформить это все актом, при этом не забыть направить сведения из акта во фстэк в установленный срок.
Что сделать: Провести категорирование.
Кому: Компаниям, деятельность которых включена в 13 значимых сфер.
Кто делает: комиссия по категорированию, которая определяется самостоятельно субъектом КИИ.
Как: по схеме ниже
Здесь необходимо смотреть В СОВОКУПНОСТИ, входит ли данная деятельность в эти 13 сфер или нет. Если входит, то переходим к инвентаризации систем. Не каждая система будет являться объектом критической информационной инфраструктуры, а только та, с помощью которой вы осуществляете критический процесс.
Хороший пример, который встретился на практике, это включение в перечень объектов КИИ медицинской организации 1С Кадры или Бухгалтерия, которая явно не осуществляет критический процесс — оказание медицинской помощи.
Как видите из схемы, которая приведена ниже, процесс категорирования непростой, здесь понадобится создать комиссию по категорированию, понять процессы, выявить критические процессы. Что сделать далее? Это сформировать перечень объектов критической информационной инфраструктуры, утвердить перечень этих объектов, собрать данные для категорирования (это и финансовые данные по деятельности Компании, и технические данные об ИС, провести моделирование угроз, оценить последствия от возможных инцидентов. На основании полученных данных сделать вывод о необходимости присвоения категории и оформить это все актом, при этом не забыть направить сведения из акта во фстэк в установленный срок.
Что сделать: Провести категорирование.
Кому: Компаниям, деятельность которых включена в 13 значимых сфер.
Кто делает: комиссия по категорированию, которая определяется самостоятельно субъектом КИИ.
Как: по схеме ниже
Что будет, если не провести категорирование?
Если посмотреть на те штрафы, которые имеются, то ничего страшного, только есть один нюанс. Вам все равно придется провести категорирование. Только уже не в комфортном для вас режиме, а спешно. Тут и контроль со стороны регуляторов будет выше. Вероятнее всего без помощи лицензиатов не обойтись. То есть путь страуса — тут самый плохой. Лучше решить все до момента прихода регулятора.
Кроме того, Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
Кроме того, Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!
Жизнь после категорирования
Мы выяснили, что такое КИИ, узнали объекты критической инфраструктуры. После того, как мы провели категорирование объектов КИИ, оценили возможные последствия в случае возникновения инцидентов на объектах КИИ и сверились с перечнем показателей критериев значимости, приведенном в ПП127. После ответа на эти вопросы, уже можно говорить, будет системе присвоена категория или нет. И какие должны обязательно применяться в соответствии с приказами регуляторов.
В декабре 2022 г. было изменение требований по категорированию в ПП-127. Изменения коснулись организаций, оказывающие гос услуги, операторов платежных систем, бирж, оборонно-промышленной сферы. Если ваша организация попадает под изменения, то вам необходимо повторно оценить показатели из перечня, указанные в ПП 127 и проверить, не изменились ли у вас категория.
Если система является объектом КИИ, но категория значимости не присвоена, то согласно ст. 9 ч.2 187-ФЗ вы, как субъект КИИ, должны информировать ФСБ о компьютерных инцидентах.
В декабре 2022 г. было изменение требований по категорированию в ПП-127. Изменения коснулись организаций, оказывающие гос услуги, операторов платежных систем, бирж, оборонно-промышленной сферы. Если ваша организация попадает под изменения, то вам необходимо повторно оценить показатели из перечня, указанные в ПП 127 и проверить, не изменились ли у вас категория.
Если система является объектом КИИ, но категория значимости не присвоена, то согласно ст. 9 ч.2 187-ФЗ вы, как субъект КИИ, должны информировать ФСБ о компьютерных инцидентах.
Кто за что отвечает?
Кто такая ГосСОПКА и почему ее нужно уведомлять?
Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит, нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.
ГосСОПКА — система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится: выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей; анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы; координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту -- по ликвидации последствий такого инцидента; расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; информирование персонала обслуживаемых информационных систем, проведение киберучений.
Субъект ГосСОПКА — государственные органы РФ, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений, осуществляющих обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.
ГосСОПКА — система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов критической информационной инфраструктуры. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов критической информационной инфраструктуры. Как правило, к таким функциям относится: выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей; анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы; координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту -- по ликвидации последствий такого инцидента; расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; информирование персонала обслуживаемых информационных систем, проведение киберучений.
Субъект ГосСОПКА — государственные органы РФ, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений, осуществляющих обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.
Уведомлять нужно во исполнение требований Приказов ФСБ всем субъектам КИИ в течение 24 часов. Субъектам со значимыми ОКИИ — 3 часа с момента инцидента.
В утвержденных приказах ФСБ России нет деления на значимые и не значимые объекты КИИ.
В утвержденных приказах ФСБ России нет деления на значимые и не значимые объекты КИИ.
А как же РКН?
Нужно уведомлять в случае утечек ПДн (согласно ст 21 ФЗ-152)
Дорожная карта субъекта КИИ
Подведем итог и сведем это все в некую дорожную карту.
Если значимых объектов КИИ нет, то не забывайте про ч.2 ст.9 187 ФЗ, это обязательно для всех субъектов КИИ, вам нужно разработать регламент информирования о компьютерных инцидентах НКЦКИ, в какой форме уведомлять в законе не указано. И конечно, законодательство меняется, у вас могут добавиться системы, поэтому не забывайте держать в актуализированном состоянии акты категорирования.
Если же значимые объекты есть, вам в любом случае необходимо создать систему безопасности для значимых объектов КИИ. Для начала нужно определить требования для системы безопасности. Они содержаться в приказах ФСТЭК 235 и 239, после определения требований приступаем к разработке проектной документации: это моделирование угроз, техническое задание, технический проект. Далее, идет этап внедрения средств защиты с разработкой эксплуатационной документации. После внедрения обязательный этап -- это аттестация объектов КИИ с выдачей документа, подтверждающего выполнения требований безопасности. Финальный этап -- это поддержание безопасности в ходе эксплуатации, в том числе и взаимодействие с технической инфраструктурой ГОССОПКа.
Процесс трудоемкий, но и не каждая система попадет под значимую. В к сфере КИИ у нас есть опыт, и мы можем вам помочь.
Если же значимые объекты есть, вам в любом случае необходимо создать систему безопасности для значимых объектов КИИ. Для начала нужно определить требования для системы безопасности. Они содержаться в приказах ФСТЭК 235 и 239, после определения требований приступаем к разработке проектной документации: это моделирование угроз, техническое задание, технический проект. Далее, идет этап внедрения средств защиты с разработкой эксплуатационной документации. После внедрения обязательный этап -- это аттестация объектов КИИ с выдачей документа, подтверждающего выполнения требований безопасности. Финальный этап -- это поддержание безопасности в ходе эксплуатации, в том числе и взаимодействие с технической инфраструктурой ГОССОПКа.
Процесс трудоемкий, но и не каждая система попадет под значимую. В к сфере КИИ у нас есть опыт, и мы можем вам помочь.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Материалы по теме