.PNG)
1Что такое КИИ — расшифровка
КИИ (критическая информационная инфраструктура) — это совокупность информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, а также сетей электросвязи, используемых для организации их взаимодействия. Понятие КИИ закреплено в Федеральном законе № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации».
Закон 187-ФЗ обязывает организации, владеющие объектами КИИ, обеспечивать их безопасность, проводить категорирование и взаимодействовать с государственной системой обнаружения и предупреждения компьютерных атак — ГосСОПКА. За нарушение требований предусмотрена ответственность вплоть до уголовной (ст. 274.1 УК РФ).
2Кто такой субъект КИИ
Субъект КИИ — это государственный орган, учреждение, юридическое лицо или ИП, которому принадлежат информационные системы в одной из 13 сфер деятельности. Право собственности или иное законное основание — достаточное условие.
| № | Сфера деятельности | Примеры организаций |
|---|---|---|
| 1 | Здравоохранение | Больницы, поликлиники, лаборатории |
| 2 | Наука | НИИ, университеты с исследовательскими системами |
| 3 | Транспорт | Аэропорты, РЖД, логистические компании |
| 4 | Связь | Операторы связи, провайдеры |
| 5 | Энергетика | Электростанции, сетевые компании |
| 6 | Банковская сфера и финансы | Банки, страховые компании, НПФ |
| 7 | ТЭК (топливно-энергетический комплекс) | Нефтегазовые компании |
| 8 | Атомная энергия | Росатом и дочерние предприятия |
| 9 | Оборонная промышленность | Предприятия ОПК |
| 10 | Ракетно-космическая промышленность | Роскосмос и подрядчики |
| 11 | Горнодобывающая промышленность | Добывающие компании |
| 12 | Металлургическая промышленность | Металлургические комбинаты |
| 13 | Химическая промышленность | Химические предприятия |
Важно
3Категорирование объектов КИИ
Категорирование — это процедура определения значимости объектов КИИ, по итогам которой каждому объекту присваивается одна из трёх категорий значимости или объект признаётся незначимым. Категория определяется на основании оценки возможного ущерба от компьютерных инцидентов.
| Категория | Уровень значимости | Критерии (масштаб последствий) | Требования к защите |
|---|---|---|---|
| 1 (высшая) | Максимальный | Ущерб федерального масштаба, угроза жизни и здоровью | Полный набор мер по приказу ФСТЭК № 239 |
| 2 (средняя) | Значительный | Ущерб регионального масштаба, нарушение критичных процессов | Расширенный набор мер по приказу ФСТЭК № 239 |
| 3 (минимальная) | Базовый | Ущерб муниципального масштаба, локальные последствия | Базовый набор мер по приказу ФСТЭК № 239 |
Процедура категорирования включает несколько этапов: формирование комиссии, определение перечня объектов КИИ, оценку показателей критериев значимости, присвоение категории и направление сведений во ФСТЭК России. Сроки категорирования — не более 1 года с момента утверждения перечня объектов.
Ответственность
4ЗОКИИ — значимые объекты КИИ
ЗОКИИ (значимые объекты критической информационной инфраструктуры) — это объекты КИИ, которым по итогам категорирования присвоена одна из трёх категорий значимости. Именно к ЗОКИИ предъявляются наиболее строгие требования по обеспечению безопасности.
Требования к защите ЗОКИИ определены в приказе ФСТЭК России № 239 и включают:
- Управление доступом и идентификация пользователей
- Аудит и мониторинг событий безопасности
- Антивирусная защита и обнаружение вторжений
- Обеспечение целостности и доступности данных
- Защита технических средств и информационных систем
- Реагирование на компьютерные инциденты
- Обеспечение безопасности при использовании средств виртуализации и облачных технологий
Для ЗОКИИ обязательно применение сертифицированных средств защиты информации. Кроме того, субъекты КИИ, владеющие ЗОКИИ, обязаны подключиться к ГосСОПКА и обеспечить круглосуточный мониторинг событий безопасности.
5ГосСОПКА и мониторинг инцидентов
ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — это единая государственная система мониторинга кибербезопасности в России, управляемая ФСБ через НКЦКИ (Национальный координационный центр по компьютерным инцидентам).
Субъекты КИИ обязаны:
- Информировать НКЦКИ о компьютерных инцидентах в установленные сроки (не позднее 24 часов для значимых объектов)
- Обеспечивать сбор и хранение информации о событиях безопасности
- Проводить мероприятия по реагированию на инциденты
- Обеспечивать непрерывный мониторинг событий ИБ на значимых объектах
Связь с SOC
Собственный SOC с аналитиками, SIEM и круглосуточной сменой стоит от 15 млн ₽/год. Для большинства субъектов КИИ из среднего бизнеса дешевле и быстрее подключить внешний SOC по модели MSSP (Managed Security Service Provider).
6Как КРЕДО-С помогает субъектам КИИ
КРЕДО-С берёт на себя безопасность КИИ — от первичного аудита и категорирования до непрерывного мониторинга и взаимодействия с ГосСОПКА.
Категорирование объектов КИИ
Формирование комиссии, определение объектов, оценка критериев значимости, подготовка документов во ФСТЭК
Проектирование системы защиты ЗОКИИ
Разработка модели угроз, подбор сертифицированных СЗИ, проектирование архитектуры безопасности
SOC-мониторинг 24/7
Круглосуточный мониторинг событий ИБ, выявление инцидентов, реагирование — как внешний SOC по модели MSSP
Взаимодействие с ГосСОПКА
Подключение к НКЦКИ, передача информации об инцидентах в установленные сроки
Внедрение средств защиты
Установка и настройка SIEM, EDR/XDR, систем обнаружения вторжений, межсетевых экранов
Аудит и приведение в соответствие
Проверка текущего состояния защиты, устранение несоответствий требованиям 187-ФЗ и приказов ФСТЭК
7Часто задаваемые вопросы о КИИ
Кто является субъектом КИИ?▼
Субъектами КИИ являются государственные органы, госучреждения и российские юридические лица (ИП), которым принадлежат информационные системы, сети или АСУ ТП в 13 ключевых сферах: здравоохранение, наука, транспорт, связь, энергетика, банки, ТЭК, атомная энергия, оборонная промышленность, ракетно-космическая, горнодобывающая, металлургия, химическая промышленность.
Что будет, если не провести категорирование КИИ?▼
За непроведение категорирования грозит административная ответственность по ст. 13.12 КоАП. Более серьёзные последствия — уголовная ответственность по ст. 274.1 УК РФ за нарушение правил эксплуатации ЗОКИИ, если это привело к ущербу. Штрафы до 1 млн ₽ для должностных лиц.
Обязательно ли подключаться к ГосСОПКА?▼
Да, для субъектов КИИ подключение к ГосСОПКА обязательно по 187-ФЗ. Субъекты КИИ должны информировать НКЦКИ ФСБ об инцидентах в сроки от 3 часов (1-я категория) до 24 часов (3-я категория) с момента обнаружения. Коммерческий SOC с лицензией ФСБ может взять на себя взаимодействие с ГосСОПКА.
Сколько стоит категорирование объектов КИИ?▼
Стоимость категорирования зависит от количества объектов. Базовая услуга для 1-3 объектов — от 150 000 ₽. Включает инвентаризацию систем, оценку последствий нарушения функционирования, составление перечня объектов и направление сведений в ФСТЭК России.
Что такое ЗОКИИ и как его защищать?▼
ЗОКИИ (значимый объект КИИ) — это объект КИИ, которому по итогам категорирования присвоена 1-я, 2-я или 3-я категория значимости. Для ЗОКИИ обязателен план защиты, развёртывание СОИБ, подключение к ГосСОПКА и мониторинг инцидентов. Несоблюдение требований ведёт к уголовной ответственности.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Кирилл Терещенко
Специалист по информационной безопасности
С 2020 года специализируется на аттестации ГИС и категорировании объектов КИИ. Аттестовал ГИС федеральных министерств РФ. Экспертиза: ЗОКИИ, 187-ФЗ, приказы ФСТЭК № 17, 21, 239.