Защита критической информационной инфраструктуры (КИИ)

Работа больниц, военных заводов и других структур зависит от компьютерных систем и сетей. Некоторые из них критически важны для страны и требуют защиты. Такие сети и системы называют объектами критической информационной инфраструктуры (КИИ).

Виды объектов КИИ

Выделяют три типа (по ФЗ-№187):

• Информационные системы (ИС). МИС БАРС и другие ИС — используют для сбора, обработки и хранения информации.
• Информационно-телекоммуникационные сети (ИТС). Нужны для обмена данными между связанными устройствами. Пример: внутренняя сеть банка.
• Автоматизированные системы управления (АСУ). Комплекс компьютерных программ и аппаратных средств, которые помогают автоматизировать процессы на заводах, фабриках и т.д.

Кто должен защищать объекты КИИ

За защиту объектов КИИ отвечают субъекты — госорганы, учреждения и компании, которые используют КИИ и работают в отраслях:

• Медицина и наука
• Финансовый сектор
• Транспорт и связь
• Оборонно-промышленный комплекс и ракетно-космическая отрасль
• Металлургическая, энергетическая, горнодобывающая и химическая промышленности.

Наличие объекта КИИ в своем компании можно проверить по двум общим нормативно-правовым актам:

• Федеральный закон №187-ФЗ — здесь описаны сферы субъектов и типы объектов, которые нужно защищать.
• Постановление Правительства №127 — определяет порядок категорирования.

Перечни типовых объектов КИИ разрабатываются отдельно для каждой отрасли. Такие документы утверждаются совместно профильным министерством и ФСТЭК России, чтобы организации точно понимали, какие системы нужно защищать.

Например, для сферы здравоохранения существует отдельный перечень. Он утвержден Заместителем Министра здравоохранения и согласован со ФСТЭК России. Перечень определяет пять ключевых типов объектов КИИ:

• Государственные информационные системы в сфере здравоохранения
• Медицинские информационные системы
• Информационные системы фармацевтических организаций
• Системы автоматизации медицинской деятельности
• Информационно-телекоммуникационная инфраструктура для медицинской деятельности.

Комиссия оценивает объекты по пяти показателям значимости (согласно ПП №127):

• Социальная значимость — определяет, как сбой объекта повлияет на жизнь людей. Например, отключение отопления в жилых домах зимой принесет риски для здоровья населения.
• Государственная — как нарушится работа госорганов.
• Экономическая — какие будут финансовые потери.
• Экологическая — какой вред будет нанесен природе.
• Стратегическая — насколько объект важен для обороны страны и безопасности государства.

После оценки выделяют два вида объектов:

Значимые — им присваивается I, II или III категория, где I — самая высокая. Чем больше выявлено опасных последствий из-за сбоя системы, тем выше степень.

Незначимые — для них итоговая оценка не превышает пороговых значений.

Результаты категорирования отправляются во ФСТЭК России — регулятор по защите КИИ. На основе категории определяют итоговые требования к обеспечению безопасности.

Зачем защищать объекты КИИ

От надежной работы объектов КИИ зависит повседневная жизнь и безопасность граждан. От небольших сбоев до хакерских атак — нужна система, которая сможет предотвращать все виды угроз и нештатных ситуаций.

Пример: химический завод проигнорировал требования ФСТЭК и не установил средства защиты информации (СЗИ). В результате вирус-троян изменил настройки управления и концентрация химикатов превысила норму.

Последствия: остановка процессов, бракованная продукция и массовое отравление сотрудников.

Безопасность КИИ важна и для быстрой реакции, если что-то пошло не так. Например, погас свет в больнице или перестали действовать светофоры. В таких случаях сотрудники должны точно знать, что делать. Для этого разрабатывают инструкции и регламенты.

Методы защиты объектов КИИ

После утверждения категории организация должна создать систему обеспечения информационной безопасности — СОИБ КИИ. Она состоит из двух направлений: организационных и технических мер.

Организационные меры

1. Контроль физического доступа
   Организация пропускного режима, установка систем видеонаблюдения и обеспечение охраны помещений.
2. Правила работы для сотрудников
   Определение уровня доступа для каждого сотрудника. Установка ограничений на выполнение определенных действий. Разработка инструкций для персонала на случай сбоев, утечек данных или кибератак.
3. Документация по безопасности
   Подготовка детальных процедур, разработка инструкций и регламентов работы технических средств защиты.

Технические меры

1. Установка специальных программ

   • Применение программных и аппаратных средств защиты информации, которые соответствуют категории значимости объекта.
   • Включение в состав СОИБ надежных систем шифрования для защиты конфиденциальных данных.

2. Настройка оборудования безопасности

   • Использование межсетевых экранов и других технологий для защиты от несанкционированного доступа.
   • Разработка правил фильтрации трафика и мониторинга активности в сети.

3. Настройка резервного копирования

   • Создание резервных копий критически важной информации. Реализация безопасного хранения и регулярного обновления.
   • Автоматизация резервного копирования для исключения человеческого фактора.

4. Защита от вредоносных программ

   • Установка программного обеспечения для предотвращения фишинговых и вирусных атак.
   • Проведение регулярных проверок и обновлений антивирусных баз.

Регулярный аудит объектов КИИ поддерживает надежность защиты. Проверки проводятся в двух форматах (согласно №187-ФЗ):

1. Государственный контроль

   Плановые проверки проводятся ФСТЭК один раз в пять лет. Внеплановые проверки проводят при изменениях в инфраструктуре КИИ или способах его защиты.

2. Периодический аудит

   Можно привлекать независимые специализированные компании с лицензией ФСТЭК для:

   • оценки текущего состояния защищенности,
   • оценки возможных рисков информационной безопасности,
   • подготовки рекомендаций по усилению защиты.

Этапы защиты КИИ

1. Категорирование объектов КИИ

Этап, на котором формируется комиссия и проводится полная инвентаризация объектов организации. Комиссия составляет перечень всех информационных систем, анализирует каждую по установленным критериям и принимает решение о присвоении категории. После — ФСТЭК утверждает или отклоняет решение о категориях.

2. Мероприятия по реализации мер защиты информации

На основе присвоенной категории специалисты разрабатывают требования для защиты объекта. Их согласовывают с регулятором, чтобы обеспечить полное соответствие законодательству.

3. Проектирование системы защиты

Специалисты разрабатывают архитектуру системы защиты, выбирают конкретные технические решения и определяют, как они будут взаимодействовать между собой. Результат проектирования: комплект проектной документации для реализации системы безопасности.

4. Внедрение системы защиты

Этап практической реализации всех разработанных решений. Организация закупает необходимое оборудование, проводит его установку и настройку. Все системы безопасности проходят тщательное тестирование, чтобы убедиться в их правильной работе. Это самый длительный этап, который требует координации многих специалистов.

5. Аттестация объектов КИИ

Заключительный этап, на котором проводится официальная проверка внедренной системы защиты. Здесь оценивают, насколько компьютерная сеть или системы соответствуют СОИБ, проводят испытания и оформляют аттестат соответствия.

Что, если не защищать объект КИИ

Контроль за выполнением требований безопасности КИИ — это система надзорных органов, где у каждого есть своя роль. ФСТЭК России следит за соблюдением требований и проводит проверки. Прокуратура привлекает к административной ответственности. А если нарушение становится преступлением, за дело берутся следователи ФСБ России и следственного комитета.

За невыполнение требований могут наказать:

• Руководителя организации
• Ответственных за безопасность специалистов
• Сотрудников, работающих со значимыми объектами.

Самое строгое наказание — уголовное. Если из-за отсутствия защиты произошел серьезный инцидент или возникла его угроза, виновным грозит до 10 лет лишения свободы. Это предусмотрено статьей 274.1 Уголовного кодекса.

Даже если серьезных происшествий не было, нарушителя ждет крупный штраф — до 500 000 рублей (Ст. 13.12.1, 19.7.15 КоАП РФ). Другие санкции: организацию могут временно закрыть, отозвать необходимые для работы лицензии или назначить проверку.

Как УИБ обеспечивает защиту КИИ

«Управление информационной безопасности» — IT-компания, которая поможет выполнить требования законодательства о защите КИИ:

• Выделим нужные объекты КИИ
• Организуем процесс категорирования
• Подготовим и согласуем документацию с регулятором
• Разработаем систему защиты под ваши задачи
• Внедрим средства безопасности
• Окажем поддержку при проверках ФСТЭК России.

Берем на себя полное сопровождение проекта — от первой консультации до успешного прохождения аттестации. Ответим на вопросы и поможем защитить ваш объект критической информационной инфраструктуры:

• Телефон: 8 800-707-94-97
• Email: info@uibcom.ru.