Журнал "Information Security/ Информационная безопасность" #2, 2020

Система может быть классической ИС и не выполнять специализиро- ванных функций, явно отно- сящихся к данной сфере, но при этом обеспечивать реа- лизацию критических для рассматриваемой сферы процессов. Примерами могут служить системы контроля и управления доступом (СКУД) или видео- наблюдения в аэропорту. Все участники транс- портной инфраструкту- ры потенциально являются субъектами критической информационной инфраструктуры, поскольку подпадают под действие Федерального закона "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации" от 26.07.2017 г. № 187-ФЗ (далее – 187-ФЗ) на основании принад- лежности к сфере деятельно- сти. Закон определил понятие термина – критическая инфор- мационная инфраструктура (КИИ), выделил ее субъекты, значимые объекты и способы их защиты. Объекты КИИ – это инфор- мационные системы (ИС), информационно-телекоммуни- кационные сети (ИТКС) и авто- матизированные системы управления (АСУ) субъектов КИИ. Требования к проведению инвентаризации и категориро- вание систем в соответствии с 187-ФЗ содержатся в постанов- лении Правительства РФ от 08.02.2018 г. № 127 "Об утвер- ждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования" (127-ПП). Согласно базовым документам, в отношении принадлежащих субъектам КИИ на праве собст- венности, аренды или ином законном основании объектов КИИ должны проводиться сле- дующие работы: 1. Создание комиссии по категорированию, составление перечня объектов КИИ и его согласование, категорирование объектов КИИ и информирова- ние ФСТЭК 1 . 2. Разработка мероприятий по взаимодействию с ФСБ Рос- сии. Организация взаимодей- ствия с ФСБ России (НКЦКИ). Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак 2 . 3. Создание системы безопас- ности значимых объектов КИИ 3 . 4. Обеспечение безопасности значимого объекта КИИ в ходе его эксплуатации 4 . Если организация явно отно- сится к сфере деятельности из перечня, который приведен в 187-ФЗ, она считается субъ- ектом КИИ и составляет пере- чень своих объектов КИИ. Далее, уже в процессе катего- рирования, каждый объект (ИС, ИТКС или АСУ), если он явно или косвенно обеспечивает реа- лизацию функций, относящихся к деятельности организации в рамках рассматриваемой сферы, должен быть отнесен к той или иной категории значи- мости. В этом случае система может быть классической ИС и не выполнять специализиро- ванных функций, явно относя- щихся к данной сфере, но при этом обеспечивать реализацию критических для рассматривае- мой сферы процессов. Приме- рами могут служить системы контроля и управления досту- пом (СКУД) или видеонаблю- дения в аэропорту. Так или иначе, но всем предприятиям, функционирующим в сфере транспорта, нужно создавать и поддерживать эффективные системы безопасности, а также 12 • В ФОКУСЕ Почему субъекты транспортной инфраструктуры задерживают исполнение закона о КИИ ктуальность и своевременность вопросов защиты информационной инфраструктуры в сфере транспорта ускорили процесс принятия закона о безопасности критической информационной инфраструктуры. Сбой в работе или выход из-под контроля ПО, управляющего, например, работой железной дороги или авиалиний, может привести к трагическим последствиям. Руководитель организации в случае серьезного инцидента, который повлек за собой причинение вреда здоровью людей, может быть привлечен не только к административной, но и к уголовной ответственности. А Алексей Подмарев, CISO Сирена-Трэвел 1 127-ПП, п. 11. 2 187-ФЗ (ст. 9, ч. 2, п. 1), Приказ ФСБ России № 367, Приказ ФСБ России №282, п. 6, 7, 8, 9, Приказ ФСБ России № 367, Приказ ФСБ России № 368. 3 187-ФЗ (ст. 10, ч. 1), Приказ ФСТЭК России № 235 (раздел II, п. 8, 9, 10), Приказ ФСТЭК России № 239, раздел II, п. 10 и 11.1, Приказ ФСТЭК России № 235, п. 25. 4 Приказ ФСТЭК России № 239, раздел II, п. 13.