Как государство обеспечивает защиту КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Государство защищает КИИ не “одной кнопкой”, а через систему правил и контроля:

- определяет, что считать КИИ и что считать “значимым” объектом (чтобы понять, где риск для страны/региона действительно высокий);
- обязывает владельцев таких объектов (субъектов КИИ) категорировать свои системы и внедрять меры защиты;
- устанавливает регуляторов (ФСТЭК/ФСБ), которые задают требования, контролируют исполнение и выстраивают систему реагирования на атаки;
- создаёт государственную систему реагирования на кибератаки (ГосСОПКА) и централизованный обмен данными об инцидентах.

Что говорит законодательство

Юридически механизм “как государство обеспечивает защиту КИИ” закреплён в связке актов:

1. 187-ФЗ задаёт каркас и вводит ГосСОПКА как единый территориально распределённый комплекс сил и средств для обнаружения/предупреждения/ликвидации последствий компьютерных атак и реагирования на инциденты, включая роль НКЦКИ (национального координационного центра по компьютерным инцидентам).

2. ПП РФ №127 устанавливает правила категорирования объектов КИИ (как определить значимость и присвоить категорию).

3. Приказы ФСТЭК устанавливают “что именно должно быть сделано” на значимых объектах:

• №239 — требования (меры) по обеспечению безопасности значимых объектов КИИ (набор зависит от категории значимости).
• №235 — требования к созданию системы безопасности значимого объекта и обеспечению её функционирования (процессы, организация работ, документы, эксплуатация).

4. ПП РФ №162 вводит государственный контроль (проверки) за соблюдением требований безопасности значимых объектов КИИ.

5. В части обмена сведениями об инцидентах в ГосСОПКА действует приказ ФСБ №367, который закрепляет перечень и порядок представления информации (через НКЦКИ).

Как это работает на практике

На практике “государственная защита КИИ” выглядит как управляемый цикл:

1. Выявили и категорировали
   Организация определяет свои объекты КИИ, проводит категорирование по ПП №127.
2. Если объект стал значимым — включаются обязательные требования
   Нужно выстроить систему безопасности по №235 и реализовать меры по №239 (по своей категории значимости).
3. Инциденты — не “внутреннее дело”, а часть общей системы
   Информация об инцидентах/атаках передаётся в контур ГосСОПКА по установленному порядку; на уровне государства это агрегируется и используется для координации и предупреждения атак (через НКЦКИ).
4. Контроль исполнения
   Для значимых объектов предусмотрены проверки в рамках госконтроля по ПП №162 — это “механизм принуждения”, чтобы требования не оставались на бумаге.

Выводы и рекомендации

Государство обеспечивает защиту КИИ через четыре опоры:

1. правила значимости и категорирования (ПП №127),
2. обязательные требования к защите значимых объектов (ФСТЭК №239 и №235),
3. централизованное реагирование и обмен данными об инцидентах (ГосСОПКА/НКЦКИ + порядок ФСБ),
4. государственный контроль (ПП №162).

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге