Краткое руководство: как защитить КИИ

Одной из самых горячих тем в повестке информационной безопасности 2018-2019 годов стала тема защиты КИИ, породившая массу вопросов. И хотя на часть из них уже удалось получить ответы – например, перед какими регулирующими органами и как нужно отчитываться – гораздо меньшей определенности удалось достичь в вопросах о том, что именно нужно сделать для обеспечения защиты КИИ. Digital Design максимально кратко объясняет, какие этапы нужно пройти, чтобы не только отчитаться перед контролирующими органами, но и надежно защитить информационную инфраструктуру вашей компании.

  • Во-первых, необходимо выделить критические процессы, направленные на осуществление основных видов деятельности предприятия и определить поддерживающие критические процессы информационных систем, которые, в свою очередь, будут являться объектами КИИ. Далее необходимо составить список всех объектов КИИ (информационных систем) и передать его в ФСТЭК. Согласно заявлению представителей регулятора на одном из профильных форумов, сделать это было необходимо в течение 5 дней после вступления в силу постановления правительства № 127.
  • Провести категорирование объектов КИИ. На это организациям отводится год с момента передачи списка в ФСТЭК. Итогом этой работы будет сформированный перечень не просто информационных систем, а значимых объектов КИИ, которые требуют реализации мер защиты.
  • Максимум в течение 3 лет, до плановой проверки со стороны регуляторов, необходимо выполнить проектирование системы информационной безопасности и внедрить средства защиты для значимых объектов КИИ в соответствии с требованиями приказа ФСТЭК.
  • В процессе проектирования необходимо учесть, что необходимо обмениваться информацией об инцидентах в информационных и автоматизированных системах, являющихся значимыми объектами КИИ, с ГосСОПКА. Для этого компаниям надо либо внедрить новые средства сбора и анализа событий, либо подключить действующие к ГосСОПКА. Средства сбора и анализа событий должны соответствовать требованиям регулятора, указанным в законе.

За этой упрощенной последовательностью шагов для защиты КИИ скрывается еще множество подпунктов, реализация которых необходима для соблюдения требований законодательства. Чтобы узнать больше, вы можете получить аналитическую записку от экспертов «Диджитал Дизайн», подробно разъясняющую требования к составу работ и основные этапы реализации мер по защите КИИ, информационную карту проекта и другие справочные и методические материалы. Чтобы запросить аналитическую записку, пишите нам в Facebook или на почту info@digdes.com.