Одной из самых горячих тем в повестке информационной безопасности 2018-2019 годов стала тема защиты объектов критической информационной инфраструктуры, породившая массу вопросов. И хотя на часть из них уже удалось получить ответы – например, перед какими регулирующими органами и как нужно отчитываться – гораздо меньшей определенности удалось достичь в вопросах о том, что именно нужно сделать для обеспечения защиты КИИ. Digital Design максимально кратко объясняет, какие этапы нужно пройти, чтобы не только отчитаться перед контролирующими органами, но и надежно защитить информационную инфраструктуру вашей компании.
- Во-первых, необходимо выделить критические процессы, направленные на осуществление основных видов деятельности предприятия и определить поддерживающие критические процессы информационных систем, которые, в свою очередь, будут подпадать под требования по категорированию объектов критической информационной инфраструктуры (КИИ). Далее необходимо составить список всех объектов КИИ (информационных систем), провести аудит КИИ и передать его в ФСТЭК. Согласно заявлению представителей регулятора на одном из профильных форумов, сделать это было необходимо в течение 5 дней после вступления в силу постановления правительства № 127.
- Провести категорирование объектов КИИ. На это организациям отводится год с момента передачи списка в ФСТЭК. Итогом этой работы будет сформированный перечень не просто информационных систем, а значимых объектов КИИ, которые требуют реализации мер защиты.
- Максимум в течение 3 лет, до плановой проверки со стороны регуляторов, необходимо выполнить проектирование системы информационной безопасности и внедрить средства защиты для значимых объектов КИИ в соответствии с требованиями приказа ФСТЭК.
- В процессе проектирования необходимо учесть, что необходимо обмениваться информацией об инцидентах в информационных и автоматизированных системах, являющихся значимыми объектами КИИ, с ГосСОПКА. Для этого компаниям надо либо внедрить новые средства сбора и анализа событий, либо подключить действующие к ГосСОПКА. Средства сбора и анализа событий должны соответствовать требованиям регулятора, указанным в законе.
За этой упрощенной последовательностью шагов для обеспечения безопасности КИИ скрывается еще множество подпунктов, реализация которых необходима для соблюдения требований законодательства (например, ФЗ 187 «О безопасности КИИ»). Чтобы узнать больше, вы можете получить аналитическую записку от экспертов «Диджитал Дизайн», подробно разъясняющую требования к составу работ и основные этапы реализации мер по защите и категорированию КИИ, информационную карту проекта и другие справочные и методические материалы. Чтобы запросить аналитическую записку, пишите нам в Facebook или на почту info@digdes.com.
