+7 (499) 653-60-72 Доб. 448Москва и область +7 (812) 426-14-07 Доб. 773Санкт-Петербург и область

Сроки категорирования по 187фз


Получите бесплатную консультацию прямо сейчас:
>> ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ <<


Реклама на этой странице. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Рекомендуемый срок — январь года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ.

ВИДЕО ПО ТЕМЕ: Категорирование объектов критической информационной инфраструктуры (КИИ)

Дорогие читатели! Наши статьи рассказывают о типовых способах решения бытовых вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь по ссылке ниже. Это быстро и бесплатно!

ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ

Получите бесплатную консультацию прямо сейчас:
>> ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ <<

Содержание:

Закон о безопасности КИИ: вопросы и ответы

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Рекомендуемый срок — январь года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ. Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.

Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области ИБ. В случае расследований инцидентов ИБ возможна ситуация, когда привлекаемые органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения.

Это может повлечь за собой уголовную ответственность в соответствии с УК РФ ст. Кроме того, уже анонсировано введение в начале года административной ответственности за некорректное категорирование объектов КИИ и нарушение установленных сроков.

Сроки категорирования будут жестко регламентированы, и, если не начать процесс заранее, есть вероятность в них не уложиться. Многие организации предпочитают отдать эту часть работ подрядчикам. Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.

Во-вторых, основа категорирования — оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи. Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования — вся информация в итоге будет снова запрашиваться у ответственных сотрудников.

В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности договоры, финансовую отчетность, иную статистику.

Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше? Проведение категорирования своими силами — это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации.

Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов. Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:.

Дальнейшие шаги будут различаться в зависимости от того, есть ли у организации значимые объекты КИИ по результатам категорирования. Но это не значит, что защищать ничего не нужно — вполне вероятно, что после оценки возможного ущерба при инцидентах организация сама пересмотрит важность безопасности своих ресурсов и будет заинтересована в реализации дополнительных мер защиты.

Если у организации есть значимые объекты КИИ, то ей потребуется реализовать систему безопасности для защиты данных объектов в соответствии с нормативными документами ФСТЭК России. С учетом высокой загрузки отделов и департаментов по ИБ и нехватки профильных специалистов в самих организациях, данные работы обычно реализуют в виде проектов с привлечением подрядчиков. Есть несколько этапов, от результата которых зависит объем всех последующих работ, поэтому до их завершения подрядчик не сможет корректно оценить сроки и бюджет проекта.

Соответственно, будет или демпинг и не слишком качественный результат, в случае объема работ выше ожидаемого, или, наоборот, попытка перезаложиться для закрытия своих рисков. В таких случаях необходимо выполнить требования нормативных документов из нескольких сфер. Стоит включить в работы ревизию уже выполненных ранее проектов и ответить на следующие вопросы:.

Не стоит изобретать велосипед. При формировании задания на работы рекомендуется строго придерживаться этих формулировок, чтобы четко выполнить поставленную задачу и не увеличить сроки и бюджет проекта. Даже незначительная корректировка может иногда повлечь заметные изменения в проекте. Применение сертифицированных средств защиты не во всех случаях является обязательным. Грамотный исполнитель сам определит необходимость применения сертифицированных средств защиты и возможность использования альтернатив.

С чего начать? Почему к категорированию не стоит относиться как к очередной формальности Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты.

Категорирование — отдать подрядчику или провести самостоятельно?


Получите бесплатную консультацию прямо сейчас:
>> ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ <<

Пошаговая инструкция от экспертов по реализации 187-ФЗ 

Пароль Забыли свой пароль? Запомнить меня. Не удается войти. Пожалуйста, проверьте правильность написания логина и пароля. План действий 22 Октября,

Разработать и утвердить приказ распоряжение о создании комиссии по категорированию объектов КИИ. В состав комиссии могут быть включены по согласованию с соответствующими госорганами и организациями представители госорганов или организаций в установленной сфере деятельности. В состав комиссии могут быть включены работники других подразделений, в том числе финансово-экономического подразделения.

В рамках вебинара " Субъекты и объекты КИИ " уже приводил доступную на тот момент официальную статистику по числу субъектов, подавших Перечни своих объектов критической информационной инфраструктуры КИИ , подлежащих категорированию, и общего числа объектов в этих Перечнях:. Виталий Сергеевич Лютиков 31 января года поделился такими данными:. Судя по всему, выше в цитате Виталия Сергеевича следует читать вместо , тогда картинка получается следующая:. Синим выделена предполагаемая корректировка, курсивом - ориентировочные цифры, красным - то, что можно рассчитать на основе имеющихся данных. И вот почему.

Защита критической информационной инфраструктуры (КИИ)

В современном мире объекты КИИ постоянно подвергаются кибератакам со стороны злоумышлеников. Наблюдается стабильный рост числа инцидентов информационной безопасности. Для повышения устойчивости функционирования объектов КИИ предприятия, поддерживающих основные бизнес-процессы производства, целесообразно реализовать комплекс мероприятий по обеспечению информационной безопасности. Описанные ниже особенности функционирования объектов КИИ способствуют возникновению большого количества уязвимостей и создают благоприятные возможности для успешной реализации атак:. Реализация угроз информационной безопасности для объектов КИИ может привести к самым разным негативным последствиям для организации и ее руководителей:. Простои технологического оборудования, нарушение непрерывности основных бизнес-процессов, снижение качества выпускаемой продукции. Как итог - прямые финансовые убытки.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Десять месяцев назад вступил в законную силу ФЗ и мы хотим показать наглядно, что времени для выполнения требований закона в части категорирования объектов КИИ осталось не так уж и много. Предлагаем сэкономить Ваше время и предложить информационный материал согласно вашего интереса! Для это выберите одно из ниже приведенных определений:. В таблице мы обобщили календарные сроки по выполнению требований на создание систем безопасности объектов КИИ.

Технологии информационной безопасности — это две стороны взаимоувязанного процесса. Он вступил в силу с 1 января года.

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Рекомендуемый срок — январь года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути.

Реализация 187-ФЗ. Год первый

Главным принципом обеспечения безопасности является предотвращение компьютерных атак. Всего устанавливается три категории: первая, вторая или третья. Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован. Для отправки комментария вам необходимо авторизоваться.

Получить консультацию: распространяется ли на вас действие ФЗ? Цель — обеспечить безопасность КИИ от компьютерных атак. Основное предназначение — регулирование отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, имеющих особую важность. На официальном уровне обозначены как критические информационные структуры далее — объекты КИИ. К ним относятся информационные системы и сети, функционирующие в сфере: здравоохранения; науки; финансовый рынок; транспорта; связи; энергетики; топливно-энергетического комплекса; атомной энергии; оборонной и ракетно-космической промышленности; горнодобывающей,металлургической и химической промышленности.

Закон о безопасности КИИ: вопросы и ответы

Об утверждении плана по реализации Федерального закона от В целях реализации Федерального закона от Утвердить план мероприятий по реализации Федерального закона от Настоящий Приказ вступает в силу через 10 дней после дня его официального опубликования. Руководитель Агентства И.

длительный срок службы оборудования; разнородность применяемых Три шага на пути к выполнению закона №ФЗ во ФСТЭК для включения объекта в реестр (крайний срок категорирования - 20 февраля года).

Главным принципом обеспечения безопасности является предотвращение компьютерных атак. Всего устанавливается три категории: первая, вторая или третья. Порядок ведения реестра значимых объектов КИИ будет определен соответствующим приказом, проект которого уже опубликован. Для отправки комментария вам необходимо авторизоваться.

План мероприятий по выполнению требований закона № 187–ФЗ

Документ содержит детальный план действий, примеры из практики, серию вопросов и ответов, а также шаблоны необходимых документов, которые помогут организациям самостоятельно определить категорию значимости объектов КИИ и выполнить часть требований законодательства. Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в тринадцати сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и др. Рекомендуемый срок проведения категорирования — январь года.

Сроки и этапы выполнения требований ФЗ-187

Первоочередными задачами, которые стоят перед субъектами КИИ для выполнения требований Закона, являются:. В настоящий момент много споров и обсуждений до сих пор вызывают сроки выполнения работ по приведению в соответствие требованиям Закона. В итоге многие организации — субъекты КИИ решили, что раз срок не установлен, то можно не спешить. Однако, с начала лета года субъекты КИИ стали получать информационные письма от отраслевых регуляторов и местных органов исполнительной власти, разъясняющие их позицию в части сроков выполнения требований Закона.

В рамках вебинара " Субъекты и объекты КИИ " уже приводил доступную на тот момент официальную статистику по числу субъектов, подавших Перечни своих объектов критической информационной инфраструктуры КИИ , подлежащих категорированию, и общего числа объектов в этих Перечнях:.

В данной заметке мы подведём итоги деятельности по реализации положений Федерального закона от Если кратко, то работы идут, и достаточно активно. Теперь расскажем более подробно, кто что делал, и каких результатов добился. ФСТЭК России ещё в конце прошлого года сформировала нормативную базу, необходимую для категорирования и обеспечения информационной безопасности объектов критической инфраструктуры далее — КИИ , а в текущем году сосредоточила усилия на разъяснительной работе, гармонизации действовавших нормативных документов с новыми, разработанными в рамках реализации закона, а также приступила к обработке первых результатов категорирования КИИ. Среди положительных моментов следует отметить усилия ФСТЭК России, направленные на формирование у участников процесса потенциальных субъектов КИИ, организаций, оказывающих услуги в области защиты информации, и производителей соответствующих средств понимания положений своей нормативной базы по категорированию и обеспечению информационной безопасности объектов КИИ.

Реализация 187-ФЗ. Год первый

Учитывая, что КИИ подразумевает некую важность, то сроки нужны. Тем не менее, в тексте предложенного проекта нет слов, что надо будет категорировать по новому тем, кто уже это сделал, поэтому, кмк, сейчас у субъектов появился стимул сделать все быстрее по старому, ну или подождать новых показателей. Реестр предусмотрен только для значимых обьектов КИИ. Сроки должны прописываться в самом Постановлении, а не в порядке или правилах. Но только, если хотим дать отсрочку субьектам. Что и было с фз, а так там нет никаких сроков.

Указ Президента РФ от г. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и или иные процессы в рамках выполнения функций полномочий или осуществления видов деятельности субъектов критической информационной инфраструктуры. О категорировании объектов КИИ Руководитель спецпроектов, к.

Комментарии 1
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. lapinnowed1965

    Я считаю, что Вы не правы. Я уверен. Могу отстоять свою позицию.