Несмотря на то что, ФЗ № 187 “О безопасности критической информационной инфраструктуры Российской Федерации" вступил в силу в 2018 году у предпринимателей, владельцев бизнеса и руководителей, государственных учреждений есть вопросы, что такое критическая информационная инфраструктура, и что является объектами критической информационной инфраструктуры.
На наиболее популярные вопросы решил дать разъяснения наш технический директор Александр Метальников.
Критическая информационная инфраструктура (КИИ) – это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Чтобы было проще, ниже представлена иллюстрация кто попадает под действие федерального закона № 187.
Категорирование объектов критической информационной инфраструктуры (КИИ).
Объекты критической информационной инфраструктуры можно поделить на значимые и незначимые. В соответствии с ч. 3 ст. 7 ФЗ № 187 значимым объектам КИИ могут присвоить одну из трех категорий. Первая самая высокая категория, третья- самая низкая.
Категории необходимы для определения мер защиты, направленных на предотвращение компьютерных инцидентов.
Ниже представлены сферы, показатели критериев значимости и условия присвоения категорий, утверждённые постановлением Правительства РФ N127 от 08.02.2018 г. (далее – ПП РФ №127).
Социальная значимость
Политическая значимость
Экономическая значимость
Экологическая значимость
Значимость для обороны страны
Порядок категорирования объектов КИИ.
Категорирование объектов критической информационной инфраструктуру осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.
В соответствии с ч. 4 ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" субъекты КИИ присваивают категорию объекту КИИ, опираясь на критерии значимости и показатели их значений, руководствуясь порядком осуществления категорирования. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Как осуществляется процедура категорирования объектов КИИ
Постановление Правительства № 127 от 08.02.2018 г четко прописывает процедуру, согласно ему
для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию, в состав которой включаются:
а) руководитель субъекта КИИ или уполномоченное им лицо;
б) работники субъекта КИИ, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
После формирования комиссии идут следующие действия:
1) Формируется перечень объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России.
2) Осуществляется категорирование объектов КИИ в соответствии с планом и составление актов категорирования для каждого из объектов. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.
3) Сведений о результатах присвоения объекту (объектам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему такой категорий направляются во ФСТЭК России, в 10-дневный срок со дня утверждения акта категорирования.
4) Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления.
Что будет, если не проводить категорирование?
В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры происходит нарушение ч.11 ст.7 ФЗ № 187 "О безопасности критической информационной инфраструктуры Российской Федерации". Невыполнение данного требования влечет за собой административную ответственность по статьям 19.4 и 19.7 Кодекса об административных правонарушениях.
Таким образом, с учетом выше описанного, не рекомендуется пренебрегать исполнением требований Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
