Российские компании получают запросы от Прокуратуры РФ о выполнении требований закона №187-ФЗ по защите критической информационной инфраструктуры. Бизнесу необходимо определить наличие объектов КИИ, провести категорирование и при необходимости уведомить ФСТЭК.
Введение
Сейчас российские компании начали получать письма из Прокуратуры РФ. В письме контролирующий орган требует подтвердить, что бизнес исполняет требования закона №187-ФЗ о безопасности критической информационной инфраструктуры (КИИ) Российской Федерации.
Как понять, является ли ваша организация субъектом критической информационной инфраструктуры? Как отвечать на такого рода запросы? Обо всем этом рассказал эксперт компании «Первый Бит» Алексей Антропов.
Что это значит для бизнеса
По закону № 187, субъектами КИИ считаются государственные структуры, бюджетные учреждения, российские юрлица и ИП, которые используют на рабочих местах информационные системы и работают в:
- здравоохранении;
- науке;
- транспорте;
- связи;
- энергетике;
- банковском деле и других сферах финансового рынка;
- топливно-энергетическом комплексе;
- атомной энергетике;
- оборонной промышленности;
- ракетно-космической отрасли;
- горнодобывающей, металлургической и химической промышленности.
Все информационные системы считаются объектами КИИ и попадают под обязательное категорирование. Причём связаться с Федеральной службой по техническому и экспортному контролю (ФСТЭК) нужно, даже если компания по итогу не является субъектом КИИ.
Что делать прямо сейчас
Главное правило — не игнорировать уведомление. Первые три шага должны быть такими:
Определите сферу деятельности. Проанализируйте коды Общероссийского классификатора видов экономической деятельности (ОКВЭД) вашей организации. Сопоставьте их со списком отраслей из перечня выше. Если хотя бы один из кодов ОКВЭД относится к регулируемой сфере – категорирование обязательно.
Определите права на объекты КИИ. Проведите инвентаризацию информационных и производственных систем.
К объектам КИИ могут относиться:
- серверы и вычислительная инфраструктура;
- корпоративные сети;
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- высокотехнологичное оборудование с компьютерным управлением;
- программные комплексы, обеспечивающие ключевые бизнес-процессы.
Определите правовой статус каждого объекта: находится ли он на балансе организации. Если да – категорирование обязательно.
Важно! Системы, которыми организация не владеет (например, облачные сервисы и арендуемые платформы), не учитываются при определении статуса субъекта КИИ.
Если компания не относится к КИИ или не владеет информационными системами, направьте в ФСТЭК уведомление об отсутствии необходимости категорирования. Заполняется по форме из Приказа ФСТЭК № 236 от 22 декабря 2017 года.
Что делать субъектам КИИ
Обязательно пройти процедуру категорирования. Первоочерёдно выполните три шага:
- Сформируйте комиссию по категорированию и подготовьте приказ о её создании.
- Соберите перечень информационных систем (объектов КИИ), которые вам принадлежат.
- Направьте перечень и приказ в ФСТЭК РФ.
Далее необходимо провести аудит информационной безопасности. В него входят все процедуры из Постановления Правительства РФ № 127.
По итогам в ФСТЭК нужно направить акт о результатах категорирования и сведения о присвоенной категории значимости (по форме из приказа ФСТЭК № 236 от 22 декабря 2017 года).
Компаниям без собственного ИБ-отдела или комплаенс-специалиста, следящего за соблюдением требований официальных документов, будет сложно самостоятельно выполнить категорирование. Поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.
Выводы
Рост внимания надзорных органов к вопросам кибербезопасности подтверждает важность соблюдения требований законодательства о защите критической информационной инфраструктуры. Компании должны оперативно реагировать на запросы, определить сферу своей деятельности по ОКВЭД и провести инвентаризацию всех используемых информационных систем. Это позволит избежать нарушений и возможных штрафных санкций.
Субъектам КИИ необходимо пройти категорирование, оформить все документы и направить сведения в ФСТЭК. Отсутствие собственного отдела информационной безопасности усложняет задачу, поэтому целесообразно привлекать внешних экспертов.
Своевременная подготовка и корректное оформление отчётности помогут минимизировать риски и укрепить доверие со стороны государственных органов.
