187-ФЗ «О безопасности КИИ»

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» был принят 26 июля 2017 года. Он устанавливает требования к обеспечению безопасности объектов КИИ — информационных систем, автоматизированных систем управления и сетей связи, критически важных для государственного управления, обороны, экономики и жизнеобеспечения населения. Закон распространяется на организации из сфер здравоохранения, транспорта, связи, энергетики, финансов, науки и других отраслей. Контроль за соблюдением требований осуществляет ФСТЭК России.

Основные требования

• Категорирование объектов КИИ — первая, вторая или третья категория значимости.
• Создание системы безопасности — организационные и технические меры защиты.
• Сертифицированные средства защиты — СКЗИ, межсетевые экраны, SIEM.
• Мониторинг инцидентов и взаимодействие с ГосСОПКА.

Категорирование и меры защиты

Категорирование включает оценку показателей критичности. Для защиты применяются шифрование, контроль доступа, обнаружение вторжений. Аттестация объектов КИИ подтверждает соответствие требованиям.

Вывод

Выполнение 187-ФЗ обязательно для всех субъектов КИИ. Услуги по проектированию и аттестации помогают соблюсти требования.

Ответственность за нарушение 187-ФЗ включает не только административные штрафы, но и уголовную ответственность (ст. 274.1 УК РФ) за неправомерное воздействие на КИИ — до 8 лет лишения свободы. Организации, не выполнившие требования по категорированию и защите КИИ, могут быть привлечены к ответственности независимо от того, произошёл ли инцидент или нет. Особые требования предъявляются к значимым объектам (первая-третья категории): обязательное использование сертифицированных средств защиты информации, аттестация объекта, создание системы мониторинга и реагирования на инциденты, взаимодействие с государственной системой обнаружения атак (ГосСОПКА).