Кибербезопасность промышленных объектов и защита критических информационных инфраструктур

В Российской Федерации субъектами критической информационной инфраструктуры являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Это регулируется федеральным законом от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу 1 января 2018 г.

Вместе с утверждением 187-ФЗ в УК РФ была добавлена статья 274.1, предусматривающая уголовную ответственность за нарушения в сфере КИИ вплоть до лишения свободы сроком на 10 лет.

Таким образом все российские компании попадающие под действие 187-ФЗ обязаны обеспечить безопасность объектов КИИ. К объектам критической информационной инфраструктуры относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Объекты КИИ и сети электросвязи, используемые для организации взаимодействия между ними, составляют критическую информационную инфраструктуру

На первом этапе необходимо понять относится ли ваша организация к числу потенциальных субъектов КИИ. Для этого ФСТЭК, являющийся регулятором, рекомендует ориентироваться на устав, лицензии и регистрацию в ЕГРЮЛ (едином государственном реестре юридических лиц), где должна раскрываться область деятельности компании с привязкой к ОКВЭД (общероссийскому классификатору видов экономической деятельности). Если вид деятельности вашей организации соответствует указанным в законе, необходимо приступать к категорированию объектов.

При наличии значимых объектов КИИ последовательность дальнейших шагов, рекомендованная ФСТЭК следующая:

• Категорирование объектов КИИ.
• Создание систем безопасности значимых объектов.
• Реализация требований по обеспечению безопасности значимых объектов.
• Обеспечение взаимодействия с ГосСОПКА

При отсутствии в организации значимых объектов КИИ, дополнительных действий направленных на их защиту ФСТЭК не требует.

Резюме: Если ваша организация субъект КИИ, следует ускорить мероприятия по категорированию используемой информационной инфраструктуры и, при наличии значимых объектов КИИ, начать планировать мероприятия по её защите.

ООО «Инполюс» оказывает услуги по обеспечению безопасности значимых объектов КИИ.

Одним из таких решений является Kaspersky Industrial CyberSecurity — набор технологий и сервисов, созданных для защиты различных уровней промышленной инфраструктуры и других элементов предприятия, в том числе серверов SCADA, операторских панелей, инженерных рабочих станций, ПЛК, сетевых соединений и даже самих инженеров. При этом решение не влияет на непрерывность технологических процессов (Информационная брошюра Kaspersky Industrial CyberSecurity)

Полезные ссылки:

Закон от № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 26.07.2017 г.

Постановление Правительства Российской Федерации от 8 февраля 2018 года № 127 об утверждении правил категорирования объектов КИИ и перечня показателей критериев значимости

Приказ ФСТЭК России от 21 декабря 2017 года № 236 об утверждении формы направления сведений о результатах категорирования

Если Вас заинтересовало решение и Вы хотите получить более подробную информацию, свяжитесь с нами.