Журнал "Information Security/ Информационная безопасность" #6, 2019

• 5 КИИ www.itsec.ru Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" 1 сформулировал следующее понятие КИИ: это объекты критической информационной инфра- структуры, а также сети электросвязи, используемые для организации взаимо- действия таких объектов. Другими сло- вами, КИИ – это совокупность инфор- мационных и автоматизированных систем, а также информационно-теле- коммуникационных сетей субъектов КИИ и сетей электросвязи, обеспечивающих их взаимодействие. Опускаясь на прикладной уровень, можно сказать, что КИИ Российской Федерации – это совокупность инфор- мационных инфраструктур всех субъ- ектов КИИ (государственные органы, государственные учреждения, органи- зации различных форм собственности и индивидуальные предприниматели). Сказанное означает, что на практике обеспечение безопасности КИИ "опус- кается" на уровень обеспечения без- опасности имеющихся у каждого из субъектов КИИ объектов КИИ. Именно с указанной позиции мы и будем гово- рить о безопасности КИИ в этой статье. Дорожная карта по обеспечению безопасности КИИ Весь процесс обеспечения безопас- ности КИИ можно представить в виде дорожной карты, изображенной на рис. 1. Начальным этапом реализации мер является категорирование, т.к. именно на нем субъект КИИ определяет, какие у него есть объекты КИИ. С точки зрения значимости объекты КИИ подразделяются на два вида – значимые и незначимые. Значимые имеют три категории значимости: мак- симальная – первая, минимальная – третья. От категории значимости объекта КИИ зависит набор мер по обеспечению безопасности. Что касается объектов КИИ, не отне- сенных к значимым, то для них не тре- буется построение дополнительной системы безопасности. Состав и содер- жание мер защиты информации для указанных объектов регламентированы в нормативно-правовых актах, регули- рующих вопросы безопасности кон- кретного вида систем: информационная система персональных данных, авто- матизированная система управления, автоматизированная банковская систе- ма и т.п. При этом, помимо требований по обес- печению безопасности значимых объ- ектов КИИ, действующее законодатель- ство предусматривает права и обязан- ности субъектов КИИ (как владельцев значимых, так и незначимых объектов КИИ), которые закреплены в ст. 9 закона "О безопасности КИИ". Не будем пере- числять их в данной статье, т.к. с ними можно подробно ознакомиться в тексте закона, укажем лишь на практические аспекты их реализации. Реагирование на компьютерные инциденты С практической точки зрения для выполнения возложенных на субъекта КИИ (владельца как значимых, так и незначимых объектов) ст. 9 закона "О безопасности КИИ" обязанностей необходимо разработать регламент Безопасность объектов КИИ: от целого к частному рамках данной статьи поговорим об алгоритме выполнения требований Федерального закона от 26.07.2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации", этапах создания системы обеспечения безопасности значимых объектов критической информационной инфраструктуры и их особенностях. В Константин Саматов, руководитель направления Аналитического центра Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова Рис. 1. Дорожная карта по обеспечению безопасности объектов КИИ С точки зрения значимости объекты КИИ подразделяются на два вида – значимые и незначимые. Значимые имеют три категории значимости: максимальная – первая, минимальная – третья. От категории значимости объекта КИИ зависит набор мер по обеспечению безопасности. 1 Далее по тексту – закон “О безопасности КИИ".