Промышленное предприятие – Фото: MichaelGaida / Pixabay - Источник
Необходимость защиты критической информационной инфраструктуры на государственном уровне осознали к концу нулевых. Именно тогда стали появляться как национальные законодательства, так и рекомендации международных организаций, например, «атомного» объединения МАГАТЭ или «экономического» объединения ОЭСЭР. В России аналогичный закон вступил в действие 1 января 2018 года, определив, в первую очередь, на кого он распространяется.
Вам кажется, что закон только для атомщиков и оборонки? Вы ошибаетесь. Его действие распространяется на государственные и коммерческие учреждения, работающие в сферах, которые составляют основу функционирования государства, а именно:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская и иные сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная энергетика;
- оборонная и ракетно-космическая промышленности;
- горнодобывающая, металлургическая и химическая промышленности.
Под объектами критической информационной инфраструктуры (КИИ) Закон понимает информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов. Кстати, по подсчётам Федеральной службы по техническому и экспортному контролю количество объектов на данный момент достигает несколько десятков тысяч.
Также, в соответствии с требованиями закона, предприятия и организации, должны:
- утвердив перечень объектов КИИ, присвоить каждому одну из трех категорий. Без категорирования невозможно определить необходимые технические и организационные меры защиты. По завершению сведения о его результатах направить в Федеральную службу по техническому и экспортному контролю для ведения реестра значимых объектов КИИ. Максимальный срок категорирования объектов – это один год со дня утверждения перечня объектов.
- На следующем этапе необходимо обеспечить интеграцию в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (сокращенно ГосСОПКА).
И в заключении, как всегда, совет руководителю:
Если вы не уверены, является ли ваша организация субъектом КИИ, просто осуществите поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях своих организаций. А отыскав, приступайте к категорированию объектов. Очевидно, что реализация всех требований потребует существенных затрат. Но нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения могут повлечь за собой, в том числе, и уголовную ответственность. Помните об этом.
Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков. Держитесь безопасного курса и берегите себя!
Заместитель генерального директора по правовым и корпоративным вопросам ГУП «ТЭК СПб»
Директор департамента денежно-кредитной политики Банка России
Председатель комитета Ленинградской области по транспорту
Генеральный директор «Фирмы Изотерм»