ФЕДЕРАЛЬНЫЙ ЗАКОН О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ (КИИ)
ВСЕ О 187-ФЗ! А ТЫ ПОДГОТОВИЛСЯ?
Цель – обеспечить безопасность КИИ от компьютерных атак.
Основное предназначение – регулирование отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, имеющих особую важность. На официальном уровне обозначены как критические информационные структуры (далее – объекты КИИ). К ним относятся информационные системы и сети, функционирующие в сфере: здравоохранения; науки; финансовый рынок; транспорта; связи; энергетики; топливно-энергетического комплекса; атомной энергии; оборонной и ракетно-космической промышленности; горнодобывающей,металлургической и химической промышленности.
Сфера действия закона?
По требованиям ФЗ - № 187, включены организации, которым принадлежат объекты КИИ или которые обеспечивают их взаимодействие.

Этап №1 Подготовка к осуществлению мероприятия
Категорирование объектов
Сроки проведения:
рекомендовано до 10.07.2018
Организатор:
Руководитель компании (по НПА и НМД №127, п.11)
Что делать?
Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ
Кто входит в комиссию?
- Руководитель
- Работники-специалисты в области осуществляемых видов деятельности (информационные технологии, технологическое оборудование, промышленная и информационная безопасность, государственная тайна, гражданская оборона и защита от ЧП).
Исходный документ
Распоряжение о создании комиссии по категорированию объектов КИИ
Определение перечня критических процессов
Сроки проведения:
не определены
Организатор:
Комиссия по категорированию объектов КИИ (по НПА и НМД №127, п.14)
Что делать?
Выявить превалирующие виды деятельности и определить перечень критических процессов: наименование процесса; тип процесса; указание сферы деятельности.
Исходный документ
Перечень критических процессов организации

Разработка перечня объектов КИИ, подлежащих категорированию
Срок проведения:
рекомендовано до 01.08.2018
Организатор:
Комиссия по категорированию объектов КИИ (по НПА и НМД №127,п.5(г),п.14(в,г), п.15
Что делать?
- определить объекты КИИ, которые обрабатывают информацию, управление, контроль и мониторинг критических процессов;
- разработка перечня объектов КИИ;
- согласование перечня объектов КИИ;
- утверждение руководителем организации, перечня объектов КИИ
- направить перечень объектов во 2-ое управление ФСТЭК России (в течение пяти рабочих дней после утверждения)
Исходный документ
Перечень объектов КИИ, подлежащих категорированию (определение категории значимости)
Примечание:
Перечень объектов заполняется по следующим пунктам:
- наименование объекта и субъекта;
- указание сферы деятельности;
- адрес размещения;
- ориентировочный срок категорирования.

Определение угроз безопасности
Срок проведения:
не определен
Организатор:
Комиссия по категорированию объектов КИИ (по НПА и НМД №127, п.14(г,д))
Что делать?
Проанализировать возможные действия нарушителей, уязвимые места процессов и выявить иные источники угроз
Исходный документ
Перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ
Определение категории значимости объекта
Срок проведения:
не определен
Организатор:
Комиссия по категорированию объектов КИИ (по НПА и НМД №127, п.14(е,ж))
Что делать?
В соответствии с критериями значимости (ПП №127) определить возможное значение объекта – присвоить выбранному объекту категорию - оформить акт
Исходный документ
Акт категорирования объекта КИИ (для каждой позиции отдельный)
Подготовка сведений о категорировании объектов КИИ
Срок проведения:
В течение 10 дней после утверждения акта категорирования объекта КИИ
Организатор:
Комиссия по категорированию объектов КИИ (по НПА и НМД №127, п.17 приказ ФСТЭК России №236)
Что делать?
Подготовить и направить во ФСТЭК Россия сведения о присвоении объекту категории или отсутствии необходимости присвоения категории.
Исходный документ
Сведения о присвоении объекту категории или отсутствии необходимости присвоения категории.
Бесплатная консультация по категорированию.
Делаем командой сертифицированных специалистов по КИИ.

Этап №2 Разработка мероприятий по взаимодействию с ФСБ России
1
Разработка регламента информирования ФСБ России
Срок проведения:
С момента определения организации как субъекта КИИ
Организатор:
Ответственный ИБ организации, лицензиат ФСТЭК России (187-ФЗ (ст.9 ч.2, п.1) приказ ФСБ России №367)
Что делать?
Разработать и утвердить регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах.
Исходный документ
- Регламент информирования о компьютерных инцидентах;
- Перечень информации о компьютерных инцидентах, связанных с функционированием объектов КИИ;
- Приказ об утверждении регламента.
2
Организация взаимодействия с ФСБ России
Организатор:
Подразделение (ответственный) ИБ организации, субъекты (центры) ГосСОПКА (при необходимости)
Что делать?
- В случае подключения к технической инфраструктуре НКЦКИ направить в НКЦКИ по адресу gov-cert@gov-cert.ru запрос о необходимости организации технической возможности незамедлительного информирования об инцидентах в соответствии с ч. 2 ст. 9 закона № 187-ФЗ
- Подключиться к технической инфраструктуре НКЦКИ в соответствии с установленным порядком
Взаимодействие с ФСБ по КИИ без проблем и проволочек.
Выполним оперативно все подготовительные этапы.
Ваше имя
Номер телефона
E-mail
Этап №3 Для организаций, имеющих значимые объекты КИИ
1
Создание системы безопасности значимых объектов КИИ (СБЗОКИИ)
Разработка и утверждение руководителем организации приказа (распоряжения) о создании системы безопасности значимых объектов КИИ

Сроки проведения: до 01.09.2019
Организатор: Руководитель ,ответственный ИБ организации (по НПА,НМД 187-ФЗ (ст. 10, ч. 1), приказ ФСТЭК России № 235 (раздел II, п. 8, 9, 10)
Что делать? Разработать и утвердить приказ (распоряжение) о создании системы безопасности значимых объектов КИИ
Исходный документ Приказ (распоряжение) о создании системы безопасности значимых объектов КИИ
Что должно быть в приказе:
- Цели создания;
- Структурные подразделения и ответственные за обеспечение безопасности значимых объектов;
- Сроки создания СБЗОКИИ;
- Ответственные за создание СБЗОКИИ;
- Лицо, осуществляющий контроль.

2
Установление требований к обеспечению безопасности значимых объектов КИИ.
Разработка технического задания на создание СБЗОКИИ

Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 10)
Что делать?
- определить базовый набор мер по обеспечении безопасности;
- адаптировать базовый набор мер по обеспечении безопасности;
- Разработать компенсирующие мер, которые будет блокировать информационные атаки;
- Разработать техническое задание СБЗОКИИ
Исходный документ Техническое задание на создание СБЗОКИИ
Что должно быть в приказе:
- Цель и задачи обеспечения безопасности;
- Категория значимости значимого объекта;
- Перечень нормативных правовых актов, методических документов и националь- ных стандартов;
- Перечень типов объектов защиты;
- Организационные и технические меры;
- Стадии (этапы работ) создания системы безопасности значимого объекта;
- Требования к применяемым программным и программно-аппаратным средствам, в том числе средствам защиты информации;
- Требования к защите средств и систем;
- Требования к информационному взаимодействию значимого объекта с иными объектами КИИ, а также иными ИС, АСУ или ИТС.

Разработка организационных и технических мер по обеспечению безопасности значимого объекта КИИ
1
Анализ угроз безопасности информации и разработка модели угроз безопасности информации или ее уточнение при ее наличии
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 11.1, приказ ФСТЭК России № 235, п. 25)
Что делать?
- Выявить источники и возможности угроз безопасности информации;
- Проанализировать возможные уязвимости значимого объекта;
- Определить возможные способы возникновения угроз безопасности информации;
- Оценить возможные последствия от реализации от угроз.
Исходный документ Модель угроз безопасности информации значимого объекта КИИ
Что должно быть в модели:
- краткое описание архитектуры значимого объекта;
- характеристика источников угроз безопасности;
- описание всех актуальных (для объекта) угроз безопасности информации.
- описание каждой угрозы безопасности информации: источник, ошибки, способы реализации, последствия.
2
Проектирование системы безопасности значимого объекта КИИ
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 11.1, приказ ФСТЭК России № 235, п. 25)
Что делать?
- Разработать документацию технического проекта;
- Макетировать СБЗОКИИ (по необходимости).
Исходный документ Документация технического проекта
Что должно быть в проекте:
- ведомость технического проекта;
- пояснительная записка к техническому проекту;
- схема технических средств;
- описание комплекса технических средств;
- описание программного обеспечения;
- схема функциональной структуры;
- схема организационной структуры;
- описание организационной структуры;
- план расположения;
- сметы на создание системы.
3
Разработка рабочей (эксплуатационной) документации на СБЗОКИИ
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 11.3)
Что делать? Разработать рабочую документацию
Исходный документ Комплект рабочей документации
Что должно быть в комплекте:
- описание архитектуры системы безопасности значимого объекта;
- описание параметров и порядка настройки программных и программно-аппаратных средств;
- правила эксплуатации программных и программно- аппаратных средств.
Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ и ввод СБЗОКИИ в действие
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.1)
Что делать?
- Закупить программные и технические средства;
- Поставить программные и технические средства;
- Установить и настроить приобретенные ТМЦ.
Исходный документ
- Товарные накладные;
- Акты передачи прав на ПО;
- Акты установки-настройки средств защиты.

Разработка организационно-распорядительных документов о правилах и процедурах обеспечения безопасности значимого объекта КИИ
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.2, приказ ФСТЭК России № 235, п. 25)
Что делать?
Разработать комплект организационно-распорядительных документов по ИБЗОКИИ
Что должно быть в комплекте:
- Политика идентификации и аутентификации
- Политика управления доступом
- Разрешительная система доступа к защищаемым ресурсам (матрица доступа)
- Политика ограничения программной среды
- Политика защиты машинных носителей
- Журнал учета машинных носителей информации
- Политика аудита безопасности
- Политика антивирусной защиты
- Политика предотвращения вторжений (компьютерных атак)
- Политика обеспечения целостности
- Политика обеспечения доступности
- Политика защиты технических средств и систем
- План контролируемой зоны
- Политика защиты информационной (автоматизированной) системы и ее компонентов
- Политика реагирования на компьютерные инциденты
- Политика управления конфигурацией информационной (автоматизированной) системы
- Технический паспорт ОКИИ
- Перечень разрешенного к использованию программного обеспечения
- Политика управления обновлениями программного обеспечения
- Политика планирования мероприятий по обеспечению защиты информации
- План мероприятий по обеспечению безопасности значимых ОКИИ
- Политика обеспечения действий в нештатных ситуациях
- Политика информирования и обучения персонала
Внедрение организационных мер по обеспечению безопасности значимого объекта КИИ
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.3)
Что делать?
Разработать и утвердить приказ (распоряжение) о внедрении организационных мер по обеспечению безопасности значимого объекта КИИ в организации
Исходный документ
- Приказ (распоряжение) о внедрении организационных мер ;
- Комплект ОРД ЗОКИИ (в части ИБ) — приложение к приказу (распоряжению).
В приказе:
- имя и должность лица (лиц), назначенного администратором безопасности значимого объекта КИИ;
- имя и должность лица, на которое возлагается контроль за выполнением приказа (распоряжения);
- комплект ОРД ЗОКИИ (в приложении).
4.3. Предварительные испытания значимого объекта КИИ и его системы безопасности
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.4)
Что делать?
Провести предварительные испытания в соответствии с программой и методикой предварительных испытаний
Исходный документ
- Программа и методика предварительных испытаний;
- Приказ о проведении предварительных испытаний СБЗОКИИ;
- Протокол проведения предварительных испытаний СБЗОКИИ;
- Акт приемки СБЗОКИИ в опытную эксплуатацию.
Опытная эксплуатация СБЗОКИИ в составе значимого объекта КИИ
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.5)
Что делать?
Проверить функционирование системы безопасности значимого объекта
Исходный документ
- Программа и методика опытной эксплуатации;
- Журнал опытной эксплуатации.
Анализ уязвимостей значимого объекта КИИ и принятие мер по их устранению
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.6)
Что делать?
-Провести анализ уязвимостей значимого объекта;
-Оформить результаты анализа уязвимостей значимого объекта.
Исходный документ
Протокол проведения анализа уязвимостей объекта
Примечание:
В протоколе не должно быть уязвимостей, которые включены в банк данных угроз ФСТЭК РФ

Приемочные испытания значимого объекта КИИ и его системы безопасности
Сроки проведения: до 01.09.2019
Организатор: ответственный ИБ организации (Приказ ФСТЭК России № 239, раздел II, п. 12.7)
Что делать?
Провести приемочные испытания значимого объекта КИИ и его системы безопасности
Исходный документ
- Программа и методика приемочных испытаний;
- Приказ (распоряжение) организации о проведении приемочных испытаний СБЗОКИИ;
- Протокол проведения приемочных испытаний СБЗОКИИ;
- Акт приемки СБЗОКИИ в эксплуатацию;
Примечание
Аттестация ЗОКИИ проводится обязательно, если:
ЗОКИИ является ГИС;
ЗОКИИ обрабатывает гостайну.
По решению руководителя организации оценка соответствия ОКИИ требованиям по ЗИ может быть проведена в форме аттестации.

Выбор программного обеспечения по инфобезопасности ставит вас в тупик?

Оперативно подберем, установим, подготовим регламенты, обучим ваш персонал.
Ваше имя
Ваш телефон
Ваш E-mail
Этап №4 Обеспечение безопасности значимого объекта КИИ в ходе его эксплуатации
Этап №5 Обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации
Получить консультацию: распространяется ли на вас действие 187-ФЗ?
НАШИ КЛИЕНТЫ
Оставить заявку на категорирование
Нет времени переделывать регламенты по КИИ?
У нас работает целая команда специалистов по Федеральному закону №187. Оперативно проведем аудит, поставим сроки, проконсультируем в проведении категорирования.