Фз 187 о безопасности критической информационной инфраструктуры

187 ФЗ

Фз 187 о безопасности критической информационной инфраструктуры

1 января 2018 года вступил в силу Федеральный закон от 26.07.

2017 N187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон), который распространяется на субъектов критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Первоочередными задачами, которые стоят перед субъектами КИИ для выполнения требований Закона, являются:

  • Формирование Комиссии по категорированию;
  • Определение перечня объектов КИИ;
  • Предоставление утвержденного перечня объектов КИИ во ФСТЭК России;
  • Категорирование объектов КИИ в соответствии с показателями критериев значимости и их значений, установленных Правительством Российской Федерации;
  • Предоставление во ФСТЭК России сведений о результатах категорирования объектов КИИ.

Далее, на основании результатов категорирования, субъекты КИИ должны будут выполнить соответствующие требования ФСТЭК России, ФСБ России и/или Минкомсвязи России по обеспечению безопасности принадлежащих им значимых объектов КИИ.
Правила категорирования объектов КИИ и перечень показателей критериев значимости объектов КИИ утверждены постановлением Правительства РФ N127 от 08.02.2018 г. (далее – ПП РФ №127).

В настоящий момент много споров и обсуждений до сих пор вызывают сроки выполнения работ по приведению в соответствие требованиям Закона. В соответствии с Правилами категорирования объектов КИИ, субъекты КИИ должны завершить категорирование всех принадлежащих им объектов КИИ не позднее, чем через год с даты утверждения перечня объектов КИИ.

А вот со сроком формирования перечня объектов КИИ и возникла коллизия, поскольку он не закреплен ни в Законе, ни в ПП РФ №127. В тексте проекта ПП РФ №127 на разработку и утверждение перечня объектов КИИ давалось полгода, но из финального текста эта норма пропала. В итоге многие организации – субъекты КИИ решили, что раз срок не установлен, то можно не спешить.

Однако, с начала лета 2018 года субъекты КИИ стали получать информационные письма от отраслевых регуляторов и местных органов исполнительной власти, разъясняющие их позицию в части сроков выполнения требований Закона. Практически все они сводятся к одному и тому же сроку – перечень объектов КИИ должен быть утвержден субъектами КИИ не позднее 1 сентября 2018 г.

При этом необходимо отдельно обратить внимание на то, что отсутствие письма от отраслевого регулятора или органа исполнительной власти с определением сроков утверждения перечня объектов КИИ не является основанием для исключения организации из сферы действия Закона.

ФСТЭК России неоднократно озвучивал на конференциях, что определение принадлежности организации к категории «субъектов КИИ» осуществляется на основании анализа учредительных документов, кодов ОКВЭД и выданных организации лицензий и иных разрешительных документов, а также анонсировал планируемые изменения в ПП РФ №127, явно определяющие срок формирования перечня объектов КИИ. Поэтому всем субъектам КИИ, включая и тех, которые не получили информационные письма от отраслевых регуляторов или органов исполнительной власти, не стоит откладывать выполнение требований Закона и ПП РФ №127.

Что делать?

  • Определите, является ли Ваша организация субъектом КИИ

Сверьте состав кодов ОКВЭД и лицензий и иных разрешительных документов, выданных Вашей организации, с составом сфер деятельности, приведенным в п.8) ст.2 Закона.

  • Сформируйте Комиссию по категорированию

Комиссия по категорированию создается приказом руководителя субъекта КИИ. Требования к составу комиссии приведены в п.11 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127.

  • Определите перечень объектов КИИ

Выявите все управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности Вашей организации.

Далее, из всех этих процессов нужно выделить критические процессы и определить объекты КИИ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управления, контроль или мониторинг критических процессов (подробнее – см. пп.а)-г) п.5 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127).
Получившийся перечень объектов КИИ мы рекомендуем утвердить до 1 сентября 2018 года.

  • Направьте утвержденный перечень объектов КИИ в Центральный аппарат ФСТЭК России

Утвержденный перечень объектов КИИ необходимо направить во ФСТЭК России не позднее, чем через 5 рабочих дней с даты утверждения.

  • Проведите категорирование объектов КИИ

Для всех объектов КИИ, включенных в утвержденный перечень, необходимо провести категорирование в срок, не превышающий одного года с даты утверждения перечня объектов КИИ (подробнее – см. п.16 и пп.г)-ж) п.14 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127).

  • Направьте сведения о результатах категорирования в Центральный аппарат ФСТЭК России

Сведения о результатах присвоения объектам КИИ одной из категорий значимости (или об отсутствии необходимости присвоения одной из таких категорий), оформленные в соответствии с требованиями Приказа ФСТЭК России №236 от 22.12.217 г., необходимо направить во ФСТЭК России не позднее, чем через 10 календарных дней с даты завершения категорирования.

Если при решении этих задач у Вас будут возникать какие-либо вопросы, Вы можете обратиться за консультацией в ЗАО НИП «ИНФОРМЗАЩИТА».

Источник: https://infosec.ru/glavnye-temy/187-fz/

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – PDF Скачать Бесплатно

Фз 187 о безопасности критической информационной инфраструктуры

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» #КИИ #категорирование #187-ФЗ Москва, 27 февраля 2018 года Алексей Комаров Менеджер по развитию решений Уральский

Подробнее

Требования 187-ФЗ: выбор оптимальной стратегии реализации Алексей Комаров, Менеджер по развитию решений Уральский Центр Систем Безопасности https://187.ussc.ru https://zlonov.ru/kii 1. Ответственность

Подробнее

1 «Об организации работ по формированию перечней объектов КИИ и последующему их категорированию» Консультант 2 отдела Управления ФСТЭК России по Приволжскому федеральному округу Логвин Вячеслав Михайлович

Подробнее

О категорировании объектов КИИ Руководитель спецпроектов, к.т.н. Миронова Валентина Григорьевна Федеральный закон 187-ФЗ «О безопасности КИИ РФ» Регулирует отношения в области обеспечения безопасности

Подробнее

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ С ЧЕГО НАЧАТЬ? Бойко Дмитрий ОАО «ИнфоТеКС» Федеральный закон 187-ФЗ «О безопасности КИИ РФ» Регулирует отношения в области обеспечения безопасности критической информационной

Подробнее

ОРЕНБУРГ 27 МАРТА Категорирование объектов КИИ С чего начать? Валентина Миронова Федеральный закон 187-ФЗ «О безопасности КИИ РФ» Регулирует отношения в области обеспечения безопасности критической информационной

Подробнее

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ П О С Т А Н О В Л Е Н И Е от 8 февраля 2018 г. 127 МОСКВА Об утверждении Правил категорирования объектов критической информационной инфраструктуры Федерации, а также

Подробнее

Комиссия по информационной безопасности при Администрации Смоленской области О мерах по реализации Федерального закона от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры

Подробнее

2 Федеральный закон от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступил в силу 1 января 2018 г. Сфера науки Сфера здравоохранения Сфера энергетики

Подробнее

Категорирование КИИ Что нового? Руководитель спецпроектов, к.т.н. Валентина Миронова Федеральный закон 187-ФЗ «О безопасности КИИ РФ» Регулирует отношения в области обеспечения безопасности критической

Подробнее

Лаборатория Информационных Систем Алексей Мальцев Спираль эволюции ИБ Новые технологии Новые угрозы Новые уязвимости Хакеры, исследователи ИНТЕГРАТОР? Расширение требований регуляторов Регуляторы Необходимость

Подробнее

Вопросы обеспечения безопасности критической информационной инфраструктуры г. Сургут 14 марта 2018 г. ФЗ от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Подробнее

Вопросы реализации Федерального закона от 26 июня 2017 г. 187-ФЗ О безопасности критической информационной инфраструктуры Российской Федерации Доклад консультанта отдела Управления ФСТЭК России по Южному

Подробнее

Критическая информационная инфраструктура Особенности реализации требований ФЗ 187 1 Субъекты КИИ в соответствии с ФЗ 187 Субъекты Государственные органы Государственные учреждения Индивидуальные предприниматели

Подробнее

Обзор законопроекта «О безопасности критической информационной инфраструктуры РФ» Центр промышленной безопасности Главный инженер проектов Кравченко Глеб Проект Федерального закона «О безопасности Критической

Подробнее

Реализация Федерального закона от 26 июля 2017 года 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» с учетом изменений, внесенных в нормативные правовые акты Заместитель

Подробнее

Управление ФСТЭК России по Сибирскому федеральному округу ПРИЩЕНКО Александр Вальтемарович «Обеспечения безопасности критической информационной инфраструктуры Российской Федерации. Система нормативных

Подробнее

Особенности категорирования объектов КИИ, функционирующих в сфере связи Кузнецов Александр, CISM, MVP Руководитель направления ИБ 18.10.2018 www.ntc-vulkan.ru СОДЕРЖАНИЕ Терминология в области КИИ Операторы

Подробнее

Система нормативных правовых актов и методических документов по вопросам обеспечения безопасности критической информационной инфраструктуры Заместитель начальника отдела Управления ФСТЭК России по Северо-Западному

Подробнее

Последствия принятия законопроекта по безопасности критической инфраструктуры Алексей Лукацкий Бизнес-консультант по безопасности 31 марта 2017 Законопроект Категорирование объектов КИИ Декабрь 2016 Внесение

Подробнее

Образец акта категорирования объекта критической информационной инфраструктуры УТВЕРЖДАЮ (руководитель организации) (подпись, инициалы, фамилия) 20 г. А К Т категорирования объекта критической информационной

Подробнее

Правовые основы обеспечения безопасности КИИ и АСУ ТП Докладчик: заместитель генерального директора по безопасности и защите информации ООО «ГСКС «ПРОФИ» Ананьев Сергей Липецк 2018 Статистика инцидентов

Подробнее

ЛЮТИКОВ Виталий Сергеевич Заместитель директора ФСТЭК России Федеральный закон от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступил в силу с

Подробнее

Управление ФСТЭК России по Сибирскому федеральному округу ЩЕКЛАЧЕВ Иван Владимирович «Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» Подготовлено в соответствии

Подробнее

АКТУАЛЬНЫЕ ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА ПО БЕЗОПАСНОСТИ КИИ И БЛИЖАЙШИЕ ПЛАНЫ РЕГУЛЯТОРОВ Павел Луцик Руководитель проектов по информационной безопасности Москва, 19 сентября 2017 РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА

Подробнее

Информационная безопасность критической информационной инфраструктуры Российской Федерации. 5 апреля 2018 г. ФЕДЕРАЛЬНЫЙ ЗАКОН 187-ФЗ от 26 июля 2017 года О безопасности критической информационной инфраструктуры

Подробнее

ОСОБЕННОСТИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ 187-ФЗ «О БЕЗОПАСНОСТИ КИИ РФ» Павел Луцик Руководитель проектов по информационной безопасности Москва, 10 апреля 2018 ОСНОВНЫЕ НПА ПО КИИ 187-ФЗ от 26.07.2017 «О безопасности

Подробнее

Выступление заместителя руководителя Управления ФСТЭК России по Приволжскому федеральному округу ХАЧИНЯНА Владимира Спартаковича Реализация Федерального закона от 26 июля 2017 года 187-ФЗ «О безопасности

Подробнее

Проект 47571-7 в третьем чтении ФЕДЕРАЛЬНЫЙ ЗАКОН О безопасности критической информационной инфраструктуры Российской Федерации Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный

Подробнее

Реализация Федерального закона от 26 июля 2017 года 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» Федеральный закон от 26 июля 2017 г. N 187 «О безопасности критической

Подробнее

16.02.2018 Финансовая организация как субъект критической информационной инфраструктуры Выборнов Андрей Олегович заместитель начальника Управления Главного управления безопасности и защиты информации Банка

Подробнее

РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О безопасности критической информационной инфраструктуры Российской Федерации Принят Государственной Думой Одобрен Советом Федерации 12 июля 2017 года 19 июля 2017

Подробнее

ТОРБЕНКО Елена Борисовна Заместитель начальника управления ФСТЭК России Нормативные правовые акты в области обеспечения безопасности КИИ, разработанные ФСТЭК России Указ Президента Российской Федерации

Подробнее

19 июля 2017 года N 187-ФЗ РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ Принят Государственной Думой 12 июля 2017 года Одобрен Советом

Подробнее

Заместитель руководителя Управления ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ Виктор Николаевич Федеральный закон Российской Федерации 187-ФЗ «О безопасности критической информационной инфраструктуры

Подробнее

Федеральный закон 187-ФЗ «О безопасности КИИ РФ» Антон Шипулин CISSP, CEH, CSSA 1 Менеджер по развитию решений по безопасности критической инфраструктуры Лаборатория Касперского Сферы деятельности объектов

Подробнее

Организация защиты информации для объектов КИИ Поговорим о Про что будем говорить Почему КИИ именно сейчас Плюсы/минусы Создание системы защиты объектов КИИ Использование продуктов «Кода Безопасности»

Подробнее

ТОРБЕНКО Елена Борисовна Заместитель начальника управления ФСТЭК России Программы Союзного Государства Защита общих информационных ресурсов Беларуси и России 2000 2005 годы Совершенствование системы защиты

Подробнее

Дорожная карта по проведению мероприятий в рамках 187-ФЗ Константин Саматов Руководитель направления в Аналитическом центре Уральского центра систем безопасности Федеральный закон от 26.07.2017 N 187-ФЗ

Подробнее

187-ФЗ Безопасность КИИ Максим Прохоров Специалист по защите критической инфраструктуры промышленных предприятий Maxim.Prokhorov@softlinegroup.com Cloud Security Big Data Mobility 290 инцидентов ИБ FY

Подробнее

Практика категорирования объектов КИИ: общие подходы и тонкости процесса Саматов Констатин Михайлович Руководитель направления Аналитического центра Уральского центра систем безопасности Федеральный закон

Подробнее

О мерах по реализации Федерального закона от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» Начальник отдела Управления ФСТЭК России по Северо-Западному

Подробнее

Медицинские организации объекты критической информационной инфраструктуры Российской Федерации. Краткая характеристика нормативной документации, работа на перспективу Исполнительный директор ООО «Информационный

Подробнее

Практика проведения работ по категорированию объектов КИИ и исследования в области обеспечения их безопасности Заместитель начальника отдела ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Енютин Алексей Юрьевич Основные

Подробнее

ЛЮТИКОВ Виталий Сергеевич Заместитель директора ФСТЭК России Федеральный закон от 26 июля 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вступил в силу с

Подробнее

ОСНОВНЫЕ НОВОВВЕДЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ РФ В ОБЛАСТИ ИБ Александр Шипков, CISSP Области рассмотрения изменений Критическая информационная инфраструктура Российской Федерации Государственные информационные

Подробнее

ТОРБЕНКО Елена Борисовна Заместитель начальника управления ФСТЭК России 1 Закон «О ГТ» Приказ-025 ФЗ-149 ФЗ-187 РД АС ФЗ-152 ПП-1119 ПП-584 ПП-1233 Указ-351 ПП.. Приказ- 151/786/461 Приказ-21 ФЗ-8 ПП-953

Подробнее

6 февраля 2019 г. г. Липецк Правовые основы защиты информации в ГИС, КИИ и ИСПДн Докладчик: Дорошенко Руслан Викторович Директор по развитию бизнеса ГСКС «Профи» Выполнение требований законодательства

Подробнее

Заместитель руководителя Управления ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ Виктор Николаевич «Обеспечение безопасности критической информационной инфраструктуры Российской Федерации» Вопросы:

Подробнее

В федеральном законодательстве создаётся организационноправовая основа для обеспечения безопасности критической информационной инфраструктуры 27 января 2017 года пакет из трёх законопроектов о безопасности

Подробнее

Организация мероприятий по обеспечению безопасности объектов КИИ Докладчик: Федоров Иван Заместитель генерального директора компании «КСБ-СОФТ» 1 ноября 2018 года, г. Смоленск ksb-soft.ru Законодательство

Подробнее

Сергей Демидов Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Новые угрозы безопасности vs новые требования регулятора: благодаря или вопреки? Новые угрозы?

Подробнее

Безопасность критической информационной инфраструктуры оператора связи Ростелеком субъект КИИ Статья 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ “О безопасности критической информационной инфраструктуры

Подробнее

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ Г осударственная Дума Федерального Собрания Российской Федерации 06 декабря 9198п-П10 МОСКВА.20 16, О внесении проектов федеральных законов “О безопасности критической

Подробнее

Заместитель руководителя Управления ФСТЭК России по Сибирскому федеральному округу БУЛГАКОВ Виктор Николаевич «Обеспечения безопасности критической информационной инфраструктуры Российской Федерации» Вопросы:

Подробнее

ПРИМЕНЕНИЕ НОВЫХ ТРЕБОВАНИЙ К БЕЗОПАСНОСТИ АСУ НА ТРАНСПОРТЕ Андрей Тимошенко Начальник отдела консалтинга, CRISC Цели и направления развития ОАО «РЖД» увеличение масштаба транспортного бизнеса повышение

Подробнее

Основные направления регулирования ИБ в России Алексей Лукацкий Бизнес-консультант по безопасности Cisco Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Cisco и(или) ее аффилированные

Подробнее

Взаимодействие объектов критической информационной инфраструктуры с ГосСОПКА. министр информационных технологий и Возможные связи региона схемы Герман Лопаткин и неочевидные нюансы Роман Кобцев, директор

Подробнее

Центр мониторинга информационной безопасности ФГУП «НПП «Гамма» Предпосылки и опыт построения Дидюк Михаил, ФГУП «НПП «Гамма» Наши лицензии ФСБ России ФСТЭК России МО России СВР России Рособоронзаказ Наши

Подробнее

Группа компаний www.infokube.ru Организация центра мониторинга систем по ИТ и ИБ Пермь – 2018 Генеральный директор ГК «ИнфоКуб» Тверитинов Артем Владимирович Главный инженер отдела защиты информации ГК

Подробнее

Источник: https://docplayer.ru/81594747-187-fz-o-bezopasnosti-kriticheskoy-informacionnoy-infrastruktury-rossiyskoy-federacii.html

Безопасность отформатировали –

Фз 187 о безопасности критической информационной инфраструктуры

Глобальные нововведения на рынке информационной безопасности ожидаются после вступления в силу Федерального закона № 187 (187-ФЗ). Власти Башкирии отчитываются об успешной подготовке к его реализации в государственных информационных системах. Эксперты опасаются, что не все представители бизнеса смогут уложиться в заявленные сроки либо сделают это формально.

187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ, — прим. «ИТ») предназначен для регулирования безопасности важных для экономики государства структур. Такие объекты в законе называются объектами КИИ.

Согласно документу, к объектам КИИ могут относиться информационные системы и сети, а также автоматизированные системы управления, функционирующие, к примеру, в сферах здравоохранения, науки, энергетики, оборонной, металлургической промышленности, топливно-энергетического комплекса.

инновация закона: реализация «Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ГосСОПКА, — прим. «ИТ»), которая должна взять под государственный контроль все уже существующие системы информационной безопасности и стать единым центром управления.

В новом законе вводится понятие «критическая информационная инфраструктура», к которой предъявляются обязательные требования по безопасности со стороны государства, а владельцы несут уголовную ответственность за неисполнение.

187-ФЗ был принят в июле 2017 года, по плану реализация закона должна двигаться поэтапно: до 10 июля 2018 года нужно было создать комиссии по категорированию объектов КИИ, к 1 августа 2018 года комиссия разработала перечень объектов КИИ и отправила его в Федеральную службу по техническому и экспортному контролю (ФСТЭК, — прим. «ИТ»). Теперь, до 1 января 2019 года, нужно будет категорировать объекты КИИ, до 1 сентября 2019 года — создать либо усовершенствовать системы безопасности в соответствии с новыми правилами, до 1 ноября 2019 года — проанализировать все отраслевые и локальные акты и привести их в соответствие с законом 187-ФЗ. Исполнение поставлено на контроль трех органов: ФСТЭК РФ, Федеральной службы безопасности (ФСБ РФ, –— прим. «ИТ»), Прокуратуры РФ. В Башкирии за переход отвечает госкомитет по информатизации РБ и управление делами главы республики.

«Зона ответственности ФСТЭК — контроль за соблюдением требований к защите значимых объектов КИИ. Зона ответственности ФСБ — выявление компьютерных атак, контроль за состоянием защищенности объектов КИИ.

Прокуратура — контроль соблюдения законодательства в целом.

Стоит отметить, что контролировать будут все субъекты КИИ, и форма собственности не имеет значения», — объяснил директор «ИТ Энигма Уфа» Александр Оводов.

«Тактические решения формируются непосредственно на местах — в регионах и организациях.

В Башкирии действует указ главы республики «Об укреплении основ по защите информации», функционирует совет по защите информации при главе республики, действует концепция об управлении инфраструктурой и определены головные подразделения — это госкомитет по информатизации и управление делами главы.

Государственная доверенная инфокоммуникационная инфраструктура Республики Башкортостан (единая инфраструктура, реализующая пространство электронного взаимодействия и обеспечивающая инфокоммуникационные сервисы на основе доверенных сетей связи, — прим.

«ИТ») включает три компонента: это государственная сервисная сеть для защищенного обмена информацией между госорганами и организациями, республиканский центр обработки данных для защищенного хранения и обработки государственных информационных ресурсов и система защиты, которая отвечает за безопасность как на серверах, так и на рабочих местах госорганов и организаций.

В феврале 2018 года было завершено введение системы защиты информации инфраструктуры, в настоящее время продолжается процесс структуризации, в первую очередь, уделяется внимание системам социального и финансового сектора, где соответствие уровня защиты особенно важно. Это системы в сфере оказания муниципальных услуг, например, запись к врачу. В перспективе двух лет все информационные системы будут сосредоточены на единой площадке», — рассказал заслуженный системный инженер Cisco Systems Михаил Кадер.

Критическая безопасность

Игроки рынка признают, что в целом новый ФЗ поможет повысить уровень информационной безопасности в регионе. Опрошенные «ИТ» эксперты не оставили без внимания и сдерживающие факторы. В их число вошли дополнительные финансовые и ресурсные затраты и тот факт, что большинство субъектов КИИ будут стараться занижать свою категорию и пользоваться типовыми решениями — то есть формально.

По мнению Александра Оводова, к преимуществам выполнения данного закона относится исключительно повышение уровня информационной безопасности, но при этом существенный недостаток заключается в том, что от участников рынка требуются дополнительные усилия и финансовые затраты.

Он также выразил опасение, что среди подводных камней кроется тот факт, что для обеспечения уровня информационной безопасности выше среднего нужно иметь в штате высококвалифицированные кадры, которых пока в Башкирии единицы. «Для многих организаций, которые ранее всерьез не занимались построением системы информационной безопасности, это все станет проблемой.

Если же по результатам категорирования у субъекта КИИ окажутся объекты одной из категории значимости, то ему придется выполнить еще ряд требований, определенных в Приказах ФСТЭК 235, 239 и установить на объектах КИИ технические средства ГосСОПКА. Все это потребует, как минимум, увеличения штата специалистов по информационной безопасности.

Что, собственно, мы уже наблюдаем у флагманов экономики региона — в нефтяном секторе, химической промышленности и энергетике», — подчеркнул он.

Директор по развитию продуктов компании Attack Killer Михаил Бубнов обратил внимание на следующий момент: несмотря на то, что владельцы информационной инфраструктуры должны сами определить, относятся ли они к субъектам КИИ, есть риск того, что ФСБ посчитает инфраструктуру критической, а ее владельца — надлежащим субъектом КИИ, при этом мнение владельца при этом учитываться не будет. Он также выразил опасение, что реализация с достаточно высокой долей вероятности не пройдет гладко, так как предполагаемый объем запросов на выполнение работ для реализации требований может не соответствовать способностям участников местного рынка — возможны инциденты, связанные с попыткой использования типовых решений, которые далеко не всегда могут быть применимы. По его мнению, есть вероятность «формального» решения задачи, ошибки в категорировании, и в целом вероятны попытки субъектов занижать категорию собственных ИИ, чтобы снизить и расходы, и ответственность.

Многие эксперты выразили озабоченность тем фактом, что в рамках нового закона предусмотрена уголовная ответственность по статье за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации (ст. 274.1 УК РФ, — прим. «ИТ»). Основанием для возбуждения дела является любое нарушение правил и инструкций по эксплуатации средств хранения или информационных систем на объектах, отнесённых к КИИ. Такие правила могут содержаться в руководствах, инструкциях, положениях, приказах ФСТЭК и ФСБ, ГОСТах и т.д. В частности, ведущий аналитик «СёрчИнформ» Алексей Парфентьев отмечает, что у него есть опасение за сотрудников, обеспечивающих выполнение закона «на местах», так как в первую очередь это коснется рядовых сотрудников, к примеру, системных администраторов.

«Для реализации таких проектов необходим серьезный опыт проведения аудита, построения комплексных систем информационной безопасности, построения центров мониторинга ИБ, оказания эксплуатационных услуг, выстраивания процессов мониторинга и реагирования на инциденты ИБ — и это не весь список. Подчеркну, что компетенций компаний, занимающихся только комплаенс (от англ.

Compliance — это система контроля и управления рисками, — прим. «ИТ») и «бумажной безопасностью», для данных целей недостаточно.

Сложность выполнения требований закона во многом зависит от текущего состояния информационной безопасности и процессов субъекта КИИ», — рассказала руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет» Екатерина Сюртукова.

Рынок всплывет

В целом эксперты сходятся во мнении, что 187-ФЗ сильно повлияет на рынок информационной безопасности.

Представитель онлайн-сервиса DocShell Сергей Борисов отметил, что уже сейчас появилось большое количество компаний, предлагающих услуги по категорированию объектов КИИ, а также сервисы по автоматизации этой деятельности, хотя новые требования только в начале года вступили в силу.

По мнению Александра Оводова, выполнение 187-ФЗ дает возможность для региональных интеграторов в области информационной безопасности расширить спектр оказываемых услуг и внедрения решений информационной безопасности. «Уже сейчас несколько компаний, и мы в их числе, оказывают данные услуги на рынке Башкортостана.

На рынке информационной безопасности в части решений для крупного бизнеса первую скрипку играют инсорсеры и московские интеграторы, тот же Сибинтек, которые в рамках группы компаний реализуют функции по обеспечению информационной безопасности или вписаны в стандарты. Что касается среднего бизнеса и органов власти, то здесь действительно есть конкуренция среди региональных игроков», — рассказал Александр Оводов.

«Все потенциальные субъекты КИИ поставлены в очень жесткие временные рамки, и количество запросов на такие работы сейчас экспоненциально растет, как следствие — растет и сам рынок.

Учитывая, что для оказания услуг в сфере защиты информации необходимы соответствующие разрешительные документы, потенциальное количество исполнителей работ в этой области ограничено.

Одновременно стоит отметить, что объем запросов может существенно превысить возможности данного сегмента рынка, особенно в Башкирии, где количество потенциальных исполнителей ограничено», — отметил Михаил Бубнов.

По мнению руководителя направления информационной безопасности компании «Системный софт», так как местных игроков, которые будут работать в этой нише, немного, большая часть проектов уйдет к известным системным интеграторам с большим опытом выполнения проектов в части ИБ-комплаенса.

Лида Богатырева

Источник: https://www.kommersant.ru/doc/3806390

Что сулит закон о безопасности критической информационной инфраструктуры?

Фз 187 о безопасности критической информационной инфраструктуры

Среди достаточно большого числа законодательных ИТ/ИБ-новшеств, вступивших в силу в 2018 г., можно выделить Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Его актуальность видна уже потому, что он принят в виде самостоятельного закона, а не поправок к ранее действовавшим документам.

Но это же показывает, что речь идет о регулировании новой (для законодательства) ИТ-сферы, а потому можно ожидать, что процесс практического применения закона будет проходить вполне естественную «притирку».

С вопросами о том, как 187-ФЗ может повлиять на развитие ситуации на корпоративном ИТ/ИБ-рынке, о перспективах его применения, возможных проблемах и вариантах их решения, мы обратились к ряду экспертов.

Что регулирует новый закон

Одна из главных новаций закона — механизм реализации «Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ГосСОПКА), которая, по-видимому, должна взять под государственный контроль все уже существующие системы ИБ и стать единым центром управления всем этим хозяйством.

Закон расширяет перечень информационных систем (для них вводится понятие «критическая информационная инфраструктура», КИИ), к которым предъявляются обязательные требования по безопасности со стороны государства и владельцы которых теперь несут ответственность, в том числе уголовную.

Как пояснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.

С точки зрения директора по ИБ компании РТ-ИНФОРМ (Центр компетенций по ИТ и ИБ госкорпорации Ростех) Александра Евтеева, важным является то, что закон определяет порядок категорирования значимых объектов КИИ, порядок госконтроля в области обеспечения их безопасности, права и обязанности организаций, которым принадлежат субъекты КИИ.

В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения хакерских атак закон выделяет два направления — обеспечение безопасности и противодействие атакам.

В этом связи директор департамента ИБ компании «Сервионика» (ГК «АйТеко») Василий Степаненко напоминает, что в соответствии с Указом Президента РФ от 25.11.

2017 № 569 федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России, а согласно Указу Президента РФ от 15.01.2013 № 31с полномочия по созданию ГосСОПКИ возложены на ФСБ России.

«ГосСОПКА должна контролировать степень защищенности критической информационной инфраструктуры РФ от компьютерных атак, — отметил Дмитрий Огородников, директор по развитию Angara Technologies Group.

— При этом до сих пор не было четкого понимания, кто должен конкретно подключаться к этой системе. Теперь, с выходом 187-ФЗ, появилась ясность в данном вопросе.

А именно, в законе указали, что к ГосСОПКЕ должны подключаться все субъекты КИИ, причем вне зависимости, есть ли у них значимые объекты КИИ или нет».

Начальник информационно-аналитического управления Московской городской Думы Антон Таран среди ключевых идей закона выделяет необходимость создания единого центра мониторинга и управления ИБ для важных с точки зрения государства ИТ-систем. «Сегодня центральная власть может не знать, что на какой-нибудь центр управления ТЭЦ в Ханты-Мансийске напали хакеры и вывели на два часа из строя систему пожаротушения. А теперь будут знать и как-то реагировать», — пояснил он.

Действительно, теперь закон напрямую обязывает службы ИБ таких объектов передавать информацию о зафиксированных атаках в ФСБ. Генеральный директор R-Vision Александр Бондаренко считает, что это позволит наладить обмен информацией между специалистами по ИБ и в целом повысит уровень защищенности объектов КИИ.

Что предстоит сделать субъектам КИИ и регуляторам для реализации закона

«В части ФСТЭК всем субъектам КИИ необходимо будет выполнить ряд мероприятий, в том числе выделение и категорирование объектов КИИ, выполнение требований по безопасности.

Но у большинства организаций на сегодняшний день уже реализованы определенные меры безопасности (например, в соответствии с нормативными актами по ГИС и/или ПДн), поэтому им потребуется соотнести имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимости ее доработать», — считает Дмитрий Огородников. В части ФСБ, добавил он, потребуется провести работы по подключению к ГосСОПКЕ, что, наверно, является самым обременительным мероприятием.

«Сейчас мы ждем утверждения правительством правил категорирования объектов КИИ, а также утверждения требований ФСТЭК по внедрению мер по защите информации на объектах КИИ в зависимости от присвоенной категории, — рассказал руководитель направления ИБ компании „Системный софт“ Яков Гродзенский. — После того, как эти документы будут утверждены, видимо определенное время займет у ФСТЭК работа по категорированию объектов КИИ. После этого начнется массовое внедрение соответствующих решений».

«В соответствии с приказом ФСТЭК № 227 от 6.12.2017 об утверждении порядка ведения реестра КИИ данный реестр будет закрытым.

Сведения из него направляются в ГосСОПКУ, а также могут предоставляться только государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере», — отметил Дмитрий Огородников.

Добавим, что в соответствии с Указом Президента от 02.03.2018 № 98 сведения, раскрывающие меры по обеспечению безопасности КИИ, а также сведения, раскрывающие состояние ее защищенности, отнесены к государственной тайне.

Совершенно определенном можно сказать, что реализация 187-ФЗ потребует от участников рынка дополнительных усилий, в том числе финансовых затрат.

«В силу того, что количество объектов и организаций, которые подпадают под действие данного закона, внушительно, а уровень обеспечения ИБ на них не очень высокий, это потребует серьезных инвестиций в безопасность. Таким образом, обеспечение защиты объектов КИИ может стать очередным драйвером рынка, каким в свое время стал пресловутый закон о персональных данных», — уверен Александр Бондаренко.

«На рынке ИБ появится новый вид услуг, ориентированных на приведение в соответствие требованиям ФСТЭК в части КИИ, а также услуги по подключению к ГосСОПКЕ. Здесь возможны различные варианты: создание ведомственных центров, подключение к корпоративным центрам и т. д. Все варианты также потребуют закупки соответствующих средств защиты информации», — полагает Дмитрий Огородников.

По словам Якова Гродзенского, организациям, подпадающим под определение субъектов КИИ, неминуемо придется создавать центры ГосСОПКИ в своей инфраструктуре. В связи с этим будет необходимо реализовать интерфейс обмена информацией с Головным центром.

«В том числе на основе уже существующих решений отечественных разработчиков нужно внедрить систему учета инцидентов и реагирования на них (IRP), основанную на SIEM-решениях, которые являются частью SOC организации.

Кроме того, необходимо проводить анализ защищенности инфраструктуры и внедрить решения по повышению осведомленности сотрудников по вопросам ИБ», — пояснил он.

«Для поставщиков средств безопасности закон несет позитивные новости, но как это отразится на ИТ-рынке — сказать сложно, ведь вполне возможно, что дополнительные усилия в направлении безопасности будут реализовываться за счет сокращения активности по другим ИТ-проектам», — делится своими опасениями Антон Таран.

Но Александр Евтеев высказывает мнение, что реализация закона скажется позитивно на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к проблемам безопасности: «В последние годы существенно увеличилось число инцидентов, связанных с компьютерными атаками, злоумышленники постоянно находят новые способы атак. Тенденция последних лет к ужесточению требований ИБ, особенно для госсектора и КИИ, является необходимой ответной мерой».

По-видимому, одним из важных направлений, которые попадают в поле применения 187-ФЗ, являются системы управления технологическими процессами.

На это, в частности, обращает внимание Дмитрий Кузнецов: «Владельцы промышленных предприятий и разработчики средств промышленной автоматизации осознали, насколько промышленность уязвима к атакам, и сейчас происходит кооперация между производителями систем АСУ ТП и компаниями, специализирующимися на анализе защищенности таких систем».

В свою очередь, Василий Степаненко отмечает, что закон подразумевает не проведение некоторой одноразовой акции по усилению безопасности ИТ-систем, а постоянную работу в этом направлении: «Заказчикам нужно теперь постоянно разрабатывать и осуществлять мероприятия по обеспечению безопасности, планировать бюджеты на это, информировать ФСБ об инцидентах, расследовать инциденты и оказывать содействие представителям ФСБ и ФСТЭК». По его словам, аттестация КИИ будет проходить не в привычном формате выдачи аттестата соответствия, а в виде проверки выполнения установленному ФСТЭК минимуму требований и постоянной оценки эффективности мер защиты со стороны ФСБ.

Все ли гладко в 187-ФЗ?

Опыт предыдущих лет показывает, что реализация принятых законов в области ИТ порой проходит довольно сложно. Оказывается, что какие-то положения принятых актов трудновыполнимы на практике, а каким-то важным аспектам законодатели уделили недостаточное внимание или вовсе упустили их из виду. Регулярно возникает и проблема финансирования исполнения требований закона.

«Качество 187-ФЗ — не лучше и не хуже аналогичных законов, связанных с ИТ, — отмечает Антон Таран. — Есть не до конца проработанные определения, допускающие неоднозначные толкования. Есть размытость формулировок.

Как обычно бывает, довольно подробно прописаны алгоритмы администрирования и функционал уполномоченных органов, поскольку от этого зависит дальнейшее нормотворчество и зоны ответственности, а соответственно и бюджетополучатели. Пока не понятно, каковы будут затраты бюджета на создание и функционирование системы.

Учитывая, что законом предусмотрено создание национального координационного центра по компьютерным инцидентам, затраты все же предстоят. Если только это не будет виртуальный центр».

С тем, что исполнение потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства, согласны все эксперты.

Но Дмитрий Кузнецов уверен, что такие расходы просто необходимы: «Проблема ИБ многими организациями игнорировалась.

Необязательность защиты привела к тому, что во многих жизненно важных информационных системах отсутствуют элементарные механизмы защиты. Болезнь стала запущенной, и сейчас ее лечение требует серьезных усилий».

Александр Бондаренко видит потенциальную проблему закона в том, что на его внедрение в реальную жизнь потребуется несколько лет, так как критические объекты в силу своих особенностей потребуют серьезной адаптации существующих механизмов защиты.

То, что государство в столь явном виде проявило озабоченность вопросами безопасности КИИ, — хорошо. Но Василий Степаненко видит проблему 187-ФЗ в том, что он, по его мнению, плохо состыкован с другими законами, которые уже давно действуют в ряде отраслей, обозначенных как потенциальные субъекты КИИ.

Не ясно пока и с ответственностью по исполнению требований закона, например, где лежит зона ответственности руководителя субъекта, а где — иных должностных лиц. Не все понятно и с финансированием.

«Обязать всех выделять бюджеты и бояться проверок можно, но без должного финансирования, в том числе со стороны государства, сложно добиться реальных результатов», — считает эксперт.

Что же касается перспектив закон, то, по мнению Антона Тарана, об этом говорить пока сложно.

С одной стороны, чисто теоретически, систематизация, координация и стандартизация никому еще не вредили, и если будущая система будет реально работать, а издержки для экономики субъектов КИИ не будут превышать потенциальные риски, то можно ожидать повышения уровня безопасности. С другой, говорить об оценке эффективности закона будет очень сложно, пока не будут определены количественные показатели обеспечения безопасности.

Главную же проблему закона он видит в издержках для бизнеса. Ведь отдельно взятый субъект вполне способен обеспечить себя защитой от компьютерных атак и в целом должен владеть технологиями ИБ не хуже государства.

Создание же дополнительных организационных и, возможно, материальных затрат для любого бизнеса должно компенсироваться дополнительными доходами, при этом есть риск, что дополнительные затраты не будут компенсированы повышением уровня безопасности.

В целом все эксперты согласны с тем, что практическая реализация закона в решающей степени будет зависеть от системы последующий нормативных подзаконных актов, которые в том числе должны определить ответственность тех или иных лиц за исполнение закона.

Версия для печати (без изображений)

Источник: https://www.itweek.ru/security/article/detail.php?ID=199713

Юрист Тимофеев
Добавить комментарий