Что нужно знать бизнесу про критическую информационную инфраструктуру

Что такое КИИ — критическая информационная инфраструктура

Понятие критической информационной инфраструктуры ввёл Федеральный закон № 187-ФЗ, принятый ещё в 2017 году, но реально работать по нему начали далеко не все компании. Если говорить без сложных терминов, то КИИ — это те информационные системы, сети и автоматизированные системы управления, без которых не обойдутся ключевые отрасли экономики. Без них остановятся заводы, перестанут ездить поезда, отключатся электростанции и заблокируются банковские переводы.

Закон даёт такое определение: критическая информационная инфраструктура — это все объекты КИИ плюс сети электросвязи, через которые они общаются между собой. Объекты критической информационной инфраструктуры бывают трёх видов:

1. Обычные информационные системы, где хранятся и обрабатываются данные.
2. Автоматизированные системы управления производством и технологическими процессами.
3. Сами сети, по которым эти данные передаются.

Главное, что нужно понять: безопасность критической информационной инфраструктуры — это состояние, при котором все эти объекты продолжают работать, даже если по ним наносят компьютерный удар. Закон различает компьютерную атаку (когда кто-то целенаправленно пытается вывести систему из строя) и компьютерный инцидент (когда такое уже случилось — например, сбой в работе или утечка данных).

Кого и как касается тема КИИ

Эта тема напрямую касается любой компании, которая владеет или арендует информационные системы в стратегических отраслях. Статья 2 закона № 187 ФЗ перечисляет эти отрасли. Среди них — здравоохранение, наука, транспорт, связь, энергетика, банки, топливно энергетический комплекс, атомная, горнодобывающая, металлургическая и химическая промышленность, а также оборонная и ракетно космическая отрасли.

Если ваша компания работает в одной из этих сфер и у вас есть своя информационная система или автоматизированная система управления — вы автоматически становитесь субъектом критической информационной инфраструктуры.

Требования критической информационной инфраструктуры касаются не только самих субъектов критической информационной инфраструктуры, но и их подрядчиков. Особенно это относится к компаниям, которые разрабатывают программное обеспечение для объектов КИИ. Если ваша компания пишет код для системы управления электростанцией или создаёт информационную систему для банка — вы обязаны соблюдать правила безопасности КИИ. Почему это важно? Потому что через уязвимости в вашем ПО могут атаковать объект критической информационной инфраструктуры.

Подрядчики, которые не защищают свои данные и не следят за безопасностью своих сетей, становятся слабым звеном для всей инфраструктуры. Заказчик (субъект КИИ) вправе требовать от подрядчика подтверждения, что его процессы разработки соответствуют требованиям критической информационной инфраструктуры.

Что относится к объектам критической информационной инфраструктуры

Закон выделяет три типа объектов КИИ, и их легко перепутать. Разберём на примерах:

Первый тип — информационные системы. Это обычные базы данных, CRM, ERP, системы учёта. Например, система бронирования билетов в авиакомпании. Если она упадёт, то люди не смогут купить билеты, но самолёты продолжат летать. Тем не менее она может быть признана объектом КИИ, если от её работоспособности зависят другие системы.

Второй тип — автоматизированные системы управления (АСУ). Это уже ближе к «железу» и производству. АСУ управляет турбиной на электростанции, движением поездов, работой доменной печи. Здесь сбой гораздо опаснее — он способен привести к реальной аварии.

Третий тип — информационно-телекоммуникационные сети. Это любые сети, по которым передаются данные между объектами критической информационной инфраструктуры. Например, закрытая оптоволоконная линия между диспетчерским центром и подстанцией. Даже если сама сеть не является информационной системой — она всё равно входит в критическую информационную инфраструктуру, потому что без неё объекты не смогут взаимодействовать.

Что нужно знать про категорирование объектов КИИ

Категорирование — это процесс, с помощью которого субъект КИИ сам определяет, насколько его объект критической инфраструктуры опасен для государства и общества в случае атаки. По статье 7 закона, существует три категории значимости: первая (самая высокая), вторая и третья. Если объект не подходит ни под одну категорию, то ему присваивается нулевая (то есть он не является значимым).

Как же понять, какая категория у вашего объекта? Закон называет пять критериев. Социальная значимость — оценивает, сколько людей пострадает, если объект перестанет работать, и как долго они останутся без жизненно важных услуг (например, без воды или света). Политическая значимость — насколько сбой ударит по интересам страны внутри и за рубежом. Экономическая — какой прямой и косвенный ущерб понесут компании и бюджет. Экологическая — насколько пострадает природа. И, наконец, значимость для обороны и безопасности государства.

Надо знать: что такое государственная тайна и как осуществляется защита сведений, составляющая гостайну

Сам субъект критической информационной инфраструктуры обязан присвоить категорию и в течение 10 дней направить данные в ФСТЭК России. ФСТЭК проверяет правильность расчётов в течение 30 дней. Если всё верно, то объект попадает в реестр значимых объектов КИИ и становится «значимым». Если ФСТЭК находит ошибки — возвращает данные на доработку.

Что нужно знать про систему ГосСОПКА и НКЦКИ

ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Расшифровывается громоздко, но суть проста: это единая государственная «скорая помощь» для информационных ресурсов страны. Создана она на базе ФСБ России и действует на всей территории, включая дипломатические представительства за рубежом.

Статья 5 закона № 187-ФЗ описывает ГосСОПКА как комплекс, в который входят три типа сил. Первый — подразделения и должностные лица ФСБ. Второй — Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Третий — собственные службы безопасности субъектов критической информационной инфраструктуры, которые тоже участвуют в обнаружении и ликвидации атак.

НКЦКИ создан Приказом ФСБ № 366 от 24.07.2018. Его главная задача — координировать действия всех участников. НКЦКИ собирает данные об атаках от разных компаний, анализирует их и рассылает предупреждения. Также через НКЦКИ организован обмен информацией с зарубежными партнёрами. Это уполномоченные органы иностранных государств и международные компании, которые занимаются реагированием на киберинциденты.

Что требуется от субъектов КИИ? Статья 9 закона обязывает их взаимодействовать с ГосСОПКА. Это значит: при любой компьютерной атаке или инциденте необходимо незамедлительно сообщить в НКЦКИ (а если вы работаете в банковской сфере — ещё и в Центробанк). Также необходимо оказывать содействие должностным лицам при проверках и по требованию устанавливать на своих объектах критической инфраструктуры специальные средства обнаружения атак.

Что нужно знать про требования к защите объектов КИИ

Базовые требования к безопасности значимых объектов критической информационной инфраструктуры утверждены Приказом ФСТЭК России № 239 от 25.12.2017 (с изменениями 2018, 2019, 2020 и 2024 годов). Документ довольно объёмный, но если выделить суть — он предписывает создать систему безопасности, которая решает четыре задачи.

• не пустить посторонних к данным и не дать им уничтожить, испортить, заблокировать или скопировать информацию;
• защитить технику от вредоносного воздействия, которое способно привести к отключению объекта критической инфраструктуры;
• быстро восстановить работу после атаки (для этого необходимо хранить резервные копии);
• постоянно обмениваться данными с ГосСОПКА.

Приказ № 239 устанавливает конкретные меры защиты, разбитые на группы. Вот основные:

1. Идентификация и аутентификация — чтобы система знала, кто к ней подключается, и не пускала чужаков.
2. Управление доступом — чтобы у каждого сотрудника был только тот доступ, который нужен для работы, и не больше.
3. Ограничение программной среды — запрет на установку неразрешённого ПО.
4. Антивирусная защита — для объектов критической инфраструктуры первой категории требуются средства от разных производителей.

Чтобы соблюсти все требования законодательства и подготовиться к проверочным мероприятиям, рекомендую предпринять следующие шаги:

• провести инвентаризацию систем, определить, есть ли объекты КИИ;
• назначить ответственного;
• разработать локальные документы по безопасности;
• настроить резервное копирование;
• наладить взаимодействие с ГосСОПКА и регуляторами.

Что нужно знать про контроль безопасности КИИ и ответственность за нарушения

Контролирует соблюдение всех этих требований ФСТЭК России (статья 13 закона № 187-ФЗ). Проверки делятся на плановые и внеплановые.

Плановая проверка проводится один раз в три года. Срок отсчитывается либо с даты внесения объекта в реестр значимых, либо с даты окончания предыдущей плановой проверки. То есть если ваш объект критической инфраструктуры уже три года в реестре, а проверка ни разу не приходила — ждите, она неизбежна.

Внеплановая проверка способна случиться в трёх случаях:

• вы не выполнили в срок предписание об устранении нарушений;
• на вашем объекте критической инфраструктуры произошёл компьютерный инцидент, который привёл к реальным негативным последствиям;
• поступило поручение от президента или правительства либо требование прокурора.

По итогам проверки составляется акт. Если найдены нарушения — выдаётся предписание с указанием сроков устранения. Игнорировать предписание нельзя, иначе последуют новая внеплановая проверка и ещё более строгие санкции.

Ответственность за нарушения предусмотрена сразу в двух кодексах — КоАП и УК.

Статья 13.12.1 КоАП РФ устанавливает штрафы за три вида нарушений.

Первое — если вы не создали систему безопасности на значимом объекте критической инфраструктуры или создали её с нарушениями. Для должностных лиц (директор, главный инженер, руководитель IT-службы) штраф — до 50 000 рублей. Для самой компании — до 100 000 рублей.

Второе — нарушили порядок информирования о компьютерных инцидентах. Например, вовремя не сообщили об атаке в ГосСОПКА или передали неполные данные. Здесь суммы выше: должностные лица — до 50 000, компания — до 500 000 рублей.

Третье — нарушили порядок обмена информацией об инцидентах между субъектами КИИ РФ, также с иностранными структурами (например, с зарубежным партнёром без согласования). Те же цифры: до 50 000 на должностных лиц, до 500 000 на компанию.

Если вы не согласны с постановлением ФСТЭК о привлечении к административной ответственности, то вправе подать жалобу в районный суд в течение 10 суток с момента привлечения в порядке, предусмотренном гл. 30 КоАП РФ.

Актуальный бланк и образец этого документа есть в КонсультантПлюс Скачать бесплатно

Уголовная ответственность наступает по статье 274.1 УК РФ при тяжких последствиях. Часть 3 — до 5 лет принудительных работ или до 6 лет тюрьмы за нарушение правил эксплуатации, повлёкшее уничтожение или блокировку данных. Часть 5 — до 10 лет, если деяние привело к тяжким последствиям (например, авария с жертвами).

Еще читайте: как проходит аттестация объектов информатизации по требованиям безопасности

Критическая информационная инфраструктура: частые вопросы