Выполните требования 187-ФЗ: от категорирования объектов до мониторинга ЗОКИИ

КИИ — это информационные системы, сети и АСУ ТП в стратегически значимых сферах. Если ваши системы относятся к КИИ, закон 187-ФЗ обязывает провести категорирование объектов и защитить значимые из них. Разбираем, что такое КИИ и ЗОКИИ, кто субъект и с чего начать — и проводим работы под ключ.

Получить консультацию по КИИ
в ИБ с 1993 года· лицензии ФСТЭК и ФСБ· 50+ проектов по защите КИИ· опыт подключения к ГосСОПКА

Что такое критическая информационная инфраструктура

Критическая информационная инфраструктура (КИИ) — это совокупность объектов КИИ и сетей электросвязи для их взаимодействия. Объект КИИ — конкретная информационная система, ИТ-сеть или автоматизированная система управления, принадлежащая субъекту.

Логика простая: работаете в значимой для государства сфере и используете для процессов ИТ-системы — эти системы и есть объекты критической инфраструктуры, а организация становится её субъектом с обязанностями по Федеральному закону № 187-ФЗ.

Кто такой субъект КИИ и что относится к объектам КИИ

Субъекты КИИ — это государственные органы и организации, которым принадлежат информационные системы в сферах из статьи 2 187-ФЗ:

  • здравоохранение
  • наука
  • транспорт
  • связь
  • энергетика
  • банковская и финансовая сфера
  • топливно-энергетический комплекс
  • атомная энергетика
  • оборонная промышленность
  • ракетно-космическая отрасль
  • горнодобывающая и металлургическая
  • химическая промышленность

Объекты критической информационной инфраструктуры — это ИС, сети и АСУ ТП субъекта. Один субъект КИИ владеет, как правило, несколькими объектами. Первый шаг — выявить и зафиксировать перечень своих объектов КИИ.

Значимые объекты КИИ (ЗОКИИ) и категории значимости

По итогам категорирования объекту присваивают одну из трёх категорий значимости либо фиксируют её отсутствие. Объекты с присвоенной категорией — это значимые объекты КИИ (ЗОКИИ), и именно они подлежат усиленной защите.

Категория значимостиУровеньЧто означает
1 категорияВысшаяМаксимальные последствия инцидента — усиленные требования к защите
2 категорияСредняяСущественные последствия
3 категорияНизшаяОграниченные последствия
Без категорииОбъект КИИ, не отнесённый к значимым

Категорию определяют по показателям критериев значимости: социальная, политическая, экономическая, экологическая значимость и значимость для обороны, безопасности и правопорядка. Объекты сверяют с отраслевым перечнем — перечень типовых объектов КИИ утверждают профильные ведомства.

187-ФЗ: обязанности субъекта КИИ и ответственность

Закон требует от субъекта КИИ четыре вещи: провести категорирование объектов, направить сведения во ФСТЭК России, обеспечить безопасность значимых объектов и подключиться к ГосСОПКА для обмена данными о компьютерных инцидентах. Требования к защите ЗОКИИ задают приказы ФСТЭК России № 235 (создание систем безопасности) и № 239 (обеспечение безопасности значимых объектов).

За невыполнение грозит административная ответственность по КоАП РФ, а за нарушение правил эксплуатации значимых объектов, повлёкшее вред, — уголовная по статье 274.1 УК РФ. Категорирование проверяется первым и выявляется легко — с него и начинают.

Этапы работы с КИИ: от категорирования до защиты

  1. Инвентаризация и определение объектов КИИ
  2. Категорирование объектов КИИ и присвоение категорий значимости
  3. Направление сведений о результатах во ФСТЭК России
  4. Проектирование и построение системы безопасности значимых объектов (приказы № 235, № 239)
  5. Аттестация объектов — при необходимости
  6. Непрерывный мониторинг и подключение к ГосСОПКА

С чего начать субъекту КИИ

С категорирования объектов. Оставьте заявку — проведём бесплатную консультацию по КИИ и предложим план работ. «Кредо-С» работает в ИБ с 1993 года, лицензии ФСТЭК России и ФСБ России, сопровождаем субъектов КИИ по всей стране.

Получить бесплатную консультацию

Часто задаваемые вопросы

Кто относится к субъектам КИИ?
Государственные органы и организации, работающие в сферах из статьи 2 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, банковская и иная финансовая сфера, ТЭК, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.
Чем категорирование объектов КИИ отличается от защиты?
Категорирование определяет, какие объекты значимы и какой они категории. Защита — это построение системы безопасности уже для значимых объектов (ЗОКИИ). Сначала категорирование, затем защита.
Что грозит за невыполнение требований 187-ФЗ?
Административная ответственность по КоАП РФ, а за нарушение правил эксплуатации значимых объектов, повлёкшее вред, — уголовная по статье 274.1 УК РФ.
Нужен ли мониторинг значимых объектов КИИ?
Да. Для ЗОКИИ требуется обнаружение и реагирование на компьютерные инциденты и взаимодействие с ГосСОПКА — это закрывает услуга мониторинга (SOC).
Сколько занимает категорирование объектов КИИ?
Сроки зависят от числа объектов и состояния исходных данных. Точный план и расчёт подготовим после бесплатной консультации.
С чего начать субъекту КИИ?
С категорирования объектов. Оставьте заявку — проведём бесплатную консультацию по КИИ и предложим план работ.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва