Аттестация КИИ

С начала 2018 года в России действует закон о защите компьютерных систем — № 187-ФЗ «О безопасности критической информационной инфраструктуры». Он регламентирует охрану цифровых комплексов в больницах, банках и других значимых организациях. Теперь объекты КИИ обязаны проходить аудит — аттестацию. О подробностях процедуры объясняют эксперты «Управления информационной безопасности».

Что такое аттестация КИИ

Аттестация критической информационной инфраструктуры (КИИ) — оценка защищенности важных систем или объектов страны. В рамках № 187-ФЗ — это:

1. Информационная система — ИС (например, база данных пациентов больницы и др.),
2. Информационно-телекоммуникационная сеть — ИТС (внутренняя связь в аэропорте и др.),
3. Автоматизированная система управления — АСУ (движение поездов и др.).

Объекты похожи на стратегические крепости, но только в цифровом мире. Государству необходимо гарантировать их неприкосновенность.

При проверке изучают устойчивость к взломам, атаке вирусов и утечкам данных. Проверяют скорость восстановления после сбоев. Цель — обеспечить национальную стабильность, сохранность социальной и экономической сфер России.

Кто должен проходить аттестацию КИИ

Оценку проходят субъекты КИИ, чья деятельность влияет на жизнь общества, безопасности страны или экономики. Это касается следующих сфер (№ 187-ФЗ):

• Здравоохранение
• Наука
• Транспорт
• Связь
• Энергетика
• Банковский и финансовый сектор
• Топливно-энергетический комплекс
• Атомная энергетика
• Оборонная и ракетно-космическая промышленность
• Горнодобывающая, металлургическая и химическая промышленность

Чтобы понять значимость объекта КИИ, нужно провести категорирование. Процесс состоит из множества этапов: от создания комиссии внутри организации до отправки документов во ФСТЭК.

Значимость определяют по потенциальному ущербу от нарушения работы объекта. Чем серьезнее последствия нарушения работы, тем выше будет категория. Оценку проводят по пяти критериям (Постановление Правительства РФ № 127 от 08.02.2018):

• Социальная значимость: влияние нарушение работы КИИ на жизнь граждан.
• Политическая: возможные нарушения государственного управления.
• Экономическая: потенциальные финансовые потери.
• Экологическая: риски для окружающей среды.
• Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Действует 3 вида категории: первая, вторая, третья. От категории зависят последующие критерии к безопасности объекта. Первая — самая важная, требования к ней будут самыми строгими.

Что еще стоит знать:

• Категорирование нужно проводить не реже чем раз в 5 лет.
• Если в объекте произошли изменения, нужно организовать внеплановое категорирование (ПП РФ № 127).

Не стоит беспокоиться, если процесс оценки значимости кажется запутанным. Существуют профессиональные компании, которые возьмут на себя всю работу. Помогут с категорированием и подготовят все необходимые документы.

Зачем и когда нужна аттестация КИИ

Процедуру осуществляют, чтобы:

• Не дать посторонним доступ к секретным документам, личным данным граждан,
• Защитить заведения от кибератак или вредоносных программ,
• Организовать работу предприятий без перебоев,
• Сохранить точность конфиденциальной или государственной информации,
• Проверить, соблюдаются ли законы о защите КИИ. кибербезопасности.

Когда проводится аттестация:

1. Обязательна для государственных организаций, которые одновременно выполняют функцию КИИ. Это требование приказа ФСТЭК № 239 от 25 декабря 2017 года. Примеры: база данных налоговой, федеральные ГИС.
2. Частные компании проводят аттестацию значимых объектов КИИ по желанию владельцев. Это добровольный выбор для негосударственных предприятий.

Кто проводит аттестацию

Процедуру проводит только лицензиат ФСТЭК России. По постановлению Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 3 февраля 2012.

Одна из таких компаний — «Управление информационной безопасности». Это аккредитованный IT-интегратор с необходимыми лицензиями от ФСТЭК. Работаем в сфере кибербезопасности с 2019 года. Узнать больше о нас.

Этапы аттестации КИИ

1. Подготовка

   Собираем информацию. Изучаем архитектуру, типы обрабатываемых данных и используемые технологии. Составляем перечень возможных угроз.

   Проверяем текущую ситуацию. Анализируем существующие меры безопасности, выявляем слабые места и недостатки.

   Проводим категорирование. Определяем уровень значимости объектов и готовим пакет документов для подтверждения значимости объекта КИИ во ФСТЭК.

2. Разработка документов

   Составляем комплект организационно-распорядительной документации (ОРД):

   • Политика информационной безопасности,
   • Инструкции для персонала,
   • Регламенты реагирования на инциденты,
   • Планы восстановления при сбое работы.

   Эти документы формируют основу для правильной эксплуатации.

3. Установка СЗИ

   Внедряем технические средства защиты информации (СЗИ):

   • От несанкционированного доступа,
   • Криптографическая защита данных,
   • СЗИ для обнаружения и предотвращения вторжений,
   • Средства анализа защищенности,
   • Межсетевые экраны и антивирусные программы.

   Настраиваем их в соответствии с требованиями регуляторов.

4. Проверка

   Проводим повторный осмотр. Инструментальный контроль настроек безопасности, проверяем корректность работы СЗИ.

5. Оформление результатов

   Пишем отчеты. Составляем протоколы испытаний, акты контроля, заключения по результатам работы.

   Выдаем аттестат. При успешном прохождении всех этапов оформляем аттестат соответствия для критической информационной инфраструктуры — с указанием уровня защищенности и срока действия.

6. Сопровождение и мониторинг

   Обеспечиваем непрерывный контроль:

   • Проводим регулярный мониторинг событий,
   • осуществляем оперативное обновление СЗИ,
   • выполняем периодический контроль состояния защищенности,
   • актуализируем модель угроз и оценку рисков.

Что требует закон

Требования к объектам КИИ определяют:

1. Приказ ФСТЭК № 235 от 21 декабря 2017 года.
2. Приказ ФСТЭК № 239 от 25 декабря 2017 года.

Процесс категорирования описывает приказ ФСТЭК России № 236 от 22.12.2017. Эти три документа — фундамент всей системы. Но есть и другие бумаги, которые дополняют и уточняют правила. Они касаются разных вопросов: от проверок до реагирования на атаки.

Цена аттестации КИИ

Цена складывается из нескольких факторов:

• Исходные данные систем: ее состав, структура и т.д.,
• Как хорошо она уже защищена,
• Нужно ли дополнительно улучшать защиту.

Каждый проект требует индивидуального подхода. Поэтому «Управление информационной безопасности» предлагает комплексное решение, которое будет охватывать все этапы процесса:

• Помощь в категорировании объекта КИИ,
• Подготовка полного пакета документации, внедрение СЗИ,
• Усиление существующих мер и проведение тестирования,
• Выдача аттестата соответствия с последующим сопровождением.

Законная защита КИИ: просто и эффективно

Аттестация объектов КИИ — это не только требование закона, но и уверенность в стабильной работе вашей организации. Наша работа полностью соответствует нормативным требованиям — избавим вас от рисков штрафов и проверок. Мы берем на себя все сложности процесса: от подготовки документации до внедрения необходимых мер защиты. Вы получаете не просто аттестат соответствия, а работающую систему безопасности.

Подробно ответим на вопросы и предоставим расчет стоимости → Позвонить нам: 8 800-707-94-97. Написать: info@uibcom.ru