О критической информационной инфраструктуре (КИИ)

В последнее время все большее внимание уделяется стратегически важным для государства областям, таким как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, а также области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности (далее – ключевые отрасли). Информационные сети и системы указанных отраслей все чаще становятся объектом для кибератак, которые проводятся и (или) спонсируются не только согражданами, но и представителями других государств. Их целью является похищение ценных сведений и новейших разработок, а иногда вывод из строя атакуемых систем (сетей) и даже диверсии. Именно по этой причине принятие мер по защите информации ключевых отраслей находится под строгим контролем уполномоченных органов государственной власти.

Основным нормативным правовым документом, регулирующим взаимодействие различных субъектов в сфере критической информационной инфраструктуры, выступает Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ).

       Что такое КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА?

Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в ключевых отраслях, являются объектами критической информационной инфраструктуры и вместе сетями электросвязи, используемыми для организации взаимодействия таких объектов, представляют собой КРИТИЧЕСКУЮ ИНФОРМАЦИОННУЮ ИНФРАСТРУКТУРУ (КИИ) (ст. 2 Федерального закона № 187-ФЗ).

       Кто должен защищать КИИ?

Защиту объектов КИИ и сетей электросвязи, используемых для организации взаимодействия объектов КИИ, обеспечивают субъекты КИИ в соответствии с действующим законодательством в области информационной безопасности посредством принятия правовых, организационных и технических мер.

       Субъектами КИИ выступают: 

      1) государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, а также 

   2) российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ (ст. 2 Федерального закона № 187-ФЗ).

Помимо субъектов в процессе обеспечения безопасности объектов КИИ принимают участие:

       1) ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, при этом:

  • осуществляет государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
  • ведет реестр значимых объектов критической информационной инфраструктуры; 
  • проверяет правильность соблюдения порядка осуществления категорирования и определения категории значимости объекта КИИ, и другое.    

       (ст. 12 Федерального закона № 187-ФЗ)

       2) ФСБ России является федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и отвечает за:         

  • создание национального координационного центра по компьютерным инцидентам;   
  • координацию деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
  • организацию и проведение оценки безопасности критической информационной инфраструктуры, и другое.

         (ст. 12 Федерального закона № 187-ФЗ)

       Какие меры должен предпринять субъект КИИ по отношению к объекту КИИ для обеспечения его информационной безопасности?

       См. Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Постановление)


Владельцам значимых объектов КИИ, которым присвоена одна из категорий значимости, в целях обеспечения их безопасности необходимо обратить особое внимание на требования Приказов ФСТЭК России от 25.12.2017 № 239 и от 21.12.2017 № 235, Приказа ФСБ России от 19.06.2019 № 282.

ВАЖНО !!! Нарушение требований действующего законодательства в области КИИ влечет за собой административную или уголовную ответственность (ст. 13.12.1, ст. 19.7.15 КоАП РФ, ст. 274.1 УК РФ).

       Немного о ГосСОПКЕ и НКЦКИ: что это такое и как с ними взаимодействовать.

Согласно статье 5 Федерального закона № 187 – ФЗ:

  • ГосСОПКа представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
  • НКЦКИ – это организация, созданная для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Одной из мер обеспечения безопасности информации объекта КИИ является обмен информацией о компьютерных инцидентах с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА), в том числе посредством организации взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ).

Такой обмен предполагает:

  • выполнение субъектами КИИ обязанности по незамедлительному информированию ГосСОПКА о компьютерных инцидентах путем направления соответствующей информации в НКЦКИ (ст. 9 Федерального закона № 187-ФЗ, Приказ ФСБ России от 24.07.2018 № 367);
  • обмен информацией (опытом) между субъектами КИИ, либо между субъектами КИИ и иными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты (Приказ ФСБ России от 24.07.2018 № 368);
  • получения субъектом КИИ сведений о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения (Приказ ФСБ России от 24.07.2018 № 368).

Взаимодействие с ГосСОПКА осуществляется напрямую, путем 

   1) подключения центра ГосСОПКА субъекта КИИ к ее технической инфраструктуре с подписанием соглашения о взаимодействии с ФСБ России, либо путем 

   2) обмена информацией с НКЦКИ следующими способами:

     2.1) подключение к технической инфраструктуре НКЦКИ;

     2.2) посредством почтовой, факсимильной или электронной связи с НКЦКИ (контактные данные для связи).

(Приказы ФСБ России от 24.07.2018 № 367 и № 368)

Выглядит это так:

В настоящее время в соответствии с указом Президента РФ от 05.10.2020 № 612 утвержден порядок установления уровня опасности проведения целевых компьютерных атак на информационную инфраструктуру РФ, согласно которому ФСТЭК России осуществляет методическое руководство деятельностью субъектов КИИ по обеспечению информационной безопасности их объектов и ее координацию, а также осуществляет оперативное доведение решения об установлении уровня опасности.