Критическая информационная инфраструктура:
что это, и какие компании к ней относятся

Подзаконные акты и требования регуляторов
Для реализации положений Федерального закона № 187-ФЗ было принято значительное количество подзаконных нормативных актов, которые детализируют требования к безопасности КИИ. Основными регуляторами в данной области выступают ФСТЭК России (Федеральная служба по техническому и экспортному контролю) и ФСБ России (Федеральная служба безопасности).

Среди ключевых подзаконных актов можно выделить:

1. Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
2. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
3. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
4. Приказ ФСБ России от 24 июля 2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Эти нормативные документы устанавливают конкретные требования к процедуре категорирования объектов КИИ, к мерам по обеспечению их безопасности, а также к порядку взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Последние изменения в законодательстве
Законодательство в сфере защиты КИИ постоянно совершенствуется. В последние годы были внесены значительные изменения, направленные на повышение эффективности защиты критической информационной инфраструктуры.

Одним из важных изменений стало принятие Федерального закона от 26 мая 2021 г. № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточил ответственность за нарушения в области защиты критической информационной инфраструктуры.

Также были внесены изменения в требования к категорированию объектов КИИ и к мерам по обеспечению их безопасности. В частности, был расширен перечень показателей критериев значимости объектов КИИ и уточнены их значения.

Кроме того, в 2021 году были утверждены новые методические рекомендации по категорированию объектов КИИ, которые учитывают специфику различных отраслей и помогают субъектам КИИ более точно определить категорию значимости своих объектов.
В целом, развитие законодательства в сфере защиты КИИ идет по пути ужесточения требований к безопасности и повышения ответственности за нарушения в данной области, что отражает растущую значимость этих вопросов для национальной безопасности.

Категории значимости объектов КИИ
После того как объект признан объектом КИИ, необходимо определить его категорию значимости. Согласно законодательству, существует три категории значимости объектов КИИ:

• Первая категория (высокая значимость) — к ней относятся объекты, нарушение функционирования которых может привести к чрезвычайно тяжелым последствиям.
• Вторая категория (средняя значимость) — к ней относятся объекты, нарушение функционирования которых может привести к тяжелым последствиям.
• Третья категория (низкая значимость) — к ней относятся объекты, нарушение функционирования которых может привести к умеренным последствиям.

Также существует возможность признания объекта КИИ незначимым, если последствия нарушения его функционирования не значительны.

Категория значимости определяется на основе оценки возможных последствий нарушения функционирования объекта КИИ с учетом установленных критериев значимости.

Процедура и методология классификации
Процедура классификации объектов КИИ регламентирована Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными Постановлением Правительства РФ от 8 февраля 2018 г. № 127.

Процесс категорирования включает следующие этапы:

1. Формирование комиссии. Субъект КИИ создает комиссию, в состав которой входят работники субъекта КИИ, а также представители государственных органов и организаций, которые эксплуатируют или обслуживают объекты КИИ.
2. Определение перечня объектов КИИ. Комиссия определяет перечень объектов КИИ, подлежащих категорированию.
3. Подготовка сведений об объектах КИИ. Для каждого объекта КИИ собираются сведения о его назначении, архитектуре, программном обеспечении, взаимодействии с другими объектами и т.д.
4. Анализ угроз безопасности информации. Проводится анализ возможных угроз безопасности информации для каждого объекта КИИ.
5. Оценка возможных последствий. Оценивается, к каким последствиям может привести нарушение функционирования объекта КИИ.
6. Присвоение категории значимости. На основе оценки последствий объекту КИИ присваивается категория значимости, или принимается решение о незначимости объекта.
7. Направление сведений о результатах категорирования в ФСТЭК России. Субъект КИИ направляет сведения о результатах классификации в ФСТЭК России для проверки и внесения в реестр значимых объектов КИИ.

Методология классификации основана на оценке возможных последствий нарушения функционирования объекта КИИ с учетом следующих показателей критериев значимости:

• Социальная значимость (возможность причинения ущерба жизни и здоровью людей, возникновения нарушений в обеспечении населения необходимыми товарами или услугами).
• Политическая значимость (возможность прекращения или нарушения функционирования государственных органов).
• Экономическая значимость (возможность возникновения ущерба бюджетам или организациям).
• Экологическая значимость (возможность причинения вреда окружающей среде).
• Значимость для обеспечения обороны страны, безопасности государства.

Для каждого показателя установлены значения, соответствующие разным категориям значимости. Если хотя бы один показатель достигает значения в определенной категории, объекту присваивается показатель значимости.

Отраслевые особенности классификации
Процесс классификации объектов КИИ имеет свои особенности в зависимости от отрасли, в которой функционирует объект. Это связано с тем, что разные отрасли имеют свою специфику, и последствия нарушения функционирования объектов КИИ в них могут существенно различаться.

Например, в сфере здравоохранения особое внимание уделяется возможности причинения вреда жизни и здоровью людей. В банковской и финансовой сферах на первый план выходит возможность нанесения экономического ущерба. В оборонной промышленности ключевым фактором является значимость для обеспечения обороны страны и безопасности государства.

Для учета этих особенностей ФСТЭК России разработала методические рекомендации по категорированию объектов КИИ для различных отраслей. Эти рекомендации помогают субъектам КИИ более точно определить категорию значимости своих объектов с учетом специфики отрасли.

Кроме того, для некоторых отраслей установлены дополнительные требования к безопасности объектов КИИ. Например, для объектов КИИ в банковской сфере Банк России устанавливает дополнительные требования к обеспечению их безопасности.

Организация службы безопасности на объектах КИИ
Для обеспечения безопасности значимых объектов КИИ субъект КИИ должен создать систему безопасности, которая включает в себя организационные и технические меры, а также силы обеспечения безопасности.

Организационная структура системы безопасности значимых объектов КИИ может включать:

1. Руководителя субъекта КИИ, который отвечает за обеспечение безопасности значимых объектов КИИ.
2. Структурное подразделение по безопасности, которое отвечает за реализацию мер по обеспечению безопасности значимых объектов КИИ.
3. Работников, ответственных за обеспечение безопасности значимых объектов КИИ.
4. Подразделение, ответственное за эксплуатацию значимых объектов КИИ.

Субъект КИИ должен определить функции и полномочия структурных подразделений и работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также порядок их взаимодействия.

Кроме того, субъект КИИ должен обеспечить подготовку и обучение работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также повышение их квалификации.

К техническим средствам защиты информации, которые могут использоваться для обеспечения безопасности значимых объектов КИИ, относятся:

1. Средства идентификации и аутентификации. Это могут быть программные или программно-аппаратные средства, обеспечивающие идентификацию и аутентификацию пользователей, устройств и программного обеспечения.
2. Средства управления доступом. Это могут быть программные или программно-аппаратные средства, обеспечивающие контроль и разграничение доступа к информации и ресурсам значимого объекта КИИ.
3. Средства защиты от вредоносного программного обеспечения. Это могут быть антивирусные программы, средства обнаружения и предотвращения вторжений и т.д.
4. Средства контроля защищенности. Это могут быть средства анализа защищенности, средства контроля уязвимостей, средства контроля целостности программного обеспечения и т.д.
5. Средства обеспечения доступности. Это могут быть средства резервного копирования и восстановления информации, средства обеспечения отказоустойчивости и т.д.
6. Средства защиты технических средств. Это могут быть средства защиты от несанкционированного физического доступа, средства защиты от утечки информации по техническим каналам и т.д.
7. Средства защиты систем связи. Это могут быть средства защиты информации при ее передаче по каналам связи, средства криптографической защиты информации и т.д.
8. Средства выявления инцидентов и реагирования на них. Это могут быть системы мониторинга и анализа событий безопасности, системы управления инцидентами и т.д.

При выборе технических средств защиты информации необходимо учитывать, что они должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании. В частности, средства защиты информации, применяемые для обеспечения безопасности значимых объектов КИИ, должны пройти оценку соответствия в форме обязательной сертификации, если это предусмотрено законодательством Российской Федерации о техническом регулировании.

Процедуры мониторинга и реагирования на инциденты
Одним из ключевых аспектов обеспечения безопасности значимых объектов КИИ является организация процедур мониторинга и реагирования на инциденты. Эти процедуры позволяют своевременно выявлять и устранять угрозы безопасности, а также минимизировать последствия инцидентов.

Процедуры мониторинга и реагирования на инциденты включают:

1. Мониторинг безопасности. Это непрерывный процесс наблюдения за состоянием безопасности значимого объекта КИИ, включающий сбор, анализ и оценку информации о событиях безопасности.
2. Выявление инцидентов.Процедуры мониторинга и реагирования на инциденты (продолжение)

3. Регистрация инцидентов. Все выявленные инциденты должны быть зарегистрированы с указанием времени обнаружения, источника, характера и возможных последствий инцидента.
4. Информирование об инцидентах. Субъект КИИ обязан информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСБ России).
5. Анализ инцидентов. Для каждого инцидента необходимо провести анализ, определить его причины, оценить последствия и разработать меры по предотвращению подобных инцидентов в будущем.
6. Реагирование на инциденты. Это комплекс мер, направленных на устранение последствий инцидента и восстановление нормального функционирования значимого объекта КИИ.
7. Ликвидация последствий инцидентов. После устранения непосредственной угрозы необходимо провести работы по восстановлению нормального функционирования значимого объекта КИИ и минимизации негативных последствий инцидента.

Для эффективной реализации процедур мониторинга и реагирования на инциденты субъект КИИ должен разработать и внедрить соответствующие регламенты и инструкции, а также обеспечить наличие необходимых технических средств и квалифицированного персонала.

Технические средства защиты информации
Для обеспечения безопасности значимых объектов КИИ используются различные технические средства защиты информации. Выбор конкретных средств зависит от категории значимости объекта КИИ и результатов анализа угроз безопасности информации.
Кроме того, субъект КИИ должен обеспечить взаимодействие с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак), которая создана для защиты информационных ресурсов Российской Федерации от компьютерных атак и обеспечения их устойчивого функционирования.

Взаимодействие с ГосСОПКА включает:

• Информирование о компьютерных инцидентах;
• Получение информации о выявленных компьютерных атаках и уязвимостях;
• Получение методической помощи по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак;
• Участие в мероприятиях по обнаружению, предупреждению и ликвидации последствий компьютерных атак.

Таким образом, организация эффективных процедур мониторинга и реагирования на инциденты является важной составляющей обеспечения безопасности значимых объектов КИИ и требует комплексного подхода, включающего организационные и технические меры, а также взаимодействие с государственными системами защиты информации.

Уголовная ответственность за нарушения в сфере КИИ
Помимо административной ответственности, за нарушения в сфере обеспечения безопасности критической информационной инфраструктуры предусмотрена уголовная ответственность. Соответствующие положения содержатся в Уголовном кодексе Российской Федерации (УК РФ).

В УК РФ введена специальная статья 274.1, которая устанавливает ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. Эта статья предусматривает ответственность за следующие деяния:

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру. Наказание — принудительные работы на срок до пяти лет либо лишение свободы на срок от двух до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре. Наказание — принудительные работы на срок до пяти лет либо лишение свободы на срок от двух до шести лет со штрафом в размере до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период до трех лет.
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре. Наказание — принудительные работы на срок до пяти лет либо лишение свободы на срок до шести лет.

При этом если указанные деяния повлекли тяжкие последствия, наказание может быть увеличено до лишения свободы на срок до десяти лет.

Таким образом, уголовная ответственность за нарушения в сфере КИИ является достаточно суровой, что отражает важность обеспечения безопасности критической информационной инфраструктуры для национальной безопасности.

Изменения в системе наказаний с ноября 2020 года
В ноябре 2020 года в законодательство Российской Федерации были внесены изменения, направленные на усиление ответственности за нарушения в сфере обеспечения безопасности критической информационной инфраструктуры.

В частности, были ужесточены наказания за неправомерное воздействие на критическую информационную инфраструктуру. Если ранее максимальное наказание за такие деяния составляло лишение свободы на срок до шести лет, то теперь оно может достигать десяти лет лишения свободы.

Кроме того, были уточнены составы преступлений, связанных с неправомерным воздействием на критическую информационную инфраструктуру, и расширен перечень квалифицирующих признаков, которые влекут более суровое наказание.

Также были внесены изменения в КоАП РФ, которые уточнили составы административных правонарушений в сфере обеспечения безопасности критической информационной инфраструктуры и увеличили размеры штрафов за такие правонарушения.

Эти изменения отражают растущую озабоченность государства вопросами обеспечения безопасности критической информационной инфраструктуры и стремление создать эффективные механизмы предотвращения и пресечения нарушений в этой сфере.

Типичные нарушения и последствия
На практике субъекты КИИ допускают различные нарушения требований по обеспечению безопасности значимых объектов КИИ. Рассмотрим наиболее типичные из них:

1. Непроведение или несвоевременное проведение категорирования объектов КИИ. Многие организации не проводят категорирование своих объектов КИИ или делают это с нарушением установленных сроков. Это может привести к тому, что значимые объекты КИИ останутся без надлежащей защиты.
2. Неправильное определение категории значимости объекта КИИ. Некоторые организации неправильно определяют категорию значимости своих объектов КИИ, что может привести к недостаточному уровню их защиты.
3. Непредставление или несвоевременное представление сведений о результатах категорирования. После проведения категорирования субъект КИИ обязан направить сведения о его результатах в ФСТЭК России. Невыполнение этой обязанности является нарушением.
4. Невыполнение требований по обеспечению безопасности значимых объектов КИИ. Многие организации не реализуют в полном объеме требования по обеспечению безопасности значимых объектов КИИ, установленные ФСТЭК России.
5. Непредставление информации о компьютерных инцидентах. Субъекты КИИ обязаны информировать ФСБ России о компьютерных инцидентах. Невыполнение этой обязанности является серьезным нарушением.
6. Нарушение правил эксплуатации средств защиты информации. Многие организации не соблюдают правила эксплуатации средств защиты информации, что может привести к снижению уровня защищенности значимых объектов КИИ.

Последствия нарушений требований по обеспечению безопасности значимых объектов КИИ могут быть различными. В легких случаях это может быть административное предупреждение или штраф. В более серьезных случаях возможно приостановление деятельности организации или даже уголовное преследование должностных лиц.
Кроме того, нарушения требований по обеспечению безопасности значимых объектов КИИ могут привести к компьютерным инцидентам, которые, в свою очередь, могут повлечь серьезные последствия для функционирования организации и даже для национальной безопасности.

Поэтому субъектам КИИ рекомендуется уделять должное внимание вопросам обеспечения безопасности значимых объектов КИИ и строго соблюдать требования законодательства в этой области.

В России, как уже было отмечено, защита критической информационной инфраструктуры регулируется Федеральным законом № 187-ФЗ и подзаконными актами. Особенностью российского подхода является четкое определение критериев отнесения объектов к критической информационной инфраструктуре и их категорирование по уровню значимости.

Сравнивая подходы разных стран к защите КИИ, можно выделить следующие общие тенденции:

• Усиление государственного регулирования в сфере защиты КИИ;
• Разработка специального законодательства, устанавливающего требования к безопасности КИИ;
• Создание специализированных государственных органов, ответственных за координацию деятельности по защите КИИ;
• Развитие государственно-частного партнерства в сфере защиты КИИ;
• Международное сотрудничество в области обмена информацией о киберугрозах и реагирования на компьютерные инциденты.

При этом каждая страна имеет свои особенности в подходе к защите КИИ, обусловленные спецификой ее политической, экономической и правовой системы.

Влияние технологических инноваций на безопасность КИИ
Развитие технологий оказывает значительное влияние на безопасность критической информационной инфраструктуры. С одной стороны, новые технологии создают новые возможности для защиты КИИ, с другой — порождают новые угрозы и вызовы.

Среди технологических инноваций, которые оказывают наибольшее влияние на безопасность КИИ, можно выделить:

1. Искусственный интеллект и машинное обучение. Эти технологии могут использоваться как для защиты КИИ (например, для автоматического обнаружения и предотвращения компьютерных атак), так и для проведения атак (например, для автоматического поиска уязвимостей или обхода систем защиты).
2. Интернет вещей (IoT). Распространение устройств IoT создает новые уязвимости в КИИ, так как многие из этих устройств имеют низкий уровень защиты и могут быть использованы для проведения распределенных атак отказа в обслуживании (DDoS).
3. Облачные технологии. Перенос информационных систем в облако может повысить их доступность и отказоустойчивость, но при этом создает новые риски, связанные с потерей контроля над данными и зависимостью от провайдера облачных услуг.
4. Блокчейн. Эта технология может использоваться для обеспечения целостности и неизменности данных, что особенно важно для КИИ.
5. 5G и другие новые технологии связи. Они обеспечивают более высокую скорость и надежность передачи данных, но при этом создают новые уязвимости, связанные с увеличением количества точек доступа к сети.

Для эффективной защиты КИИ в условиях быстрого развития технологий необходим комплексный подход, включающий:

• Постоянный мониторинг и анализ новых технологических угроз;
• Адаптацию нормативно-правовой базы к новым технологическим реалиям;
• Разработку и внедрение новых методов и средств защиты, основанных на передовых технологиях;
• Обучение и повышение квалификации специалистов по информационной безопасности;
• Международное сотрудничество в области обмена информацией о новых угрозах и методах защиты.

Таким образом, влияние технологических инноваций на безопасность КИИ является двояким: они создают как новые возможности для защиты, так и новые угрозы. Задача государства и субъектов КИИ — максимально использовать возможности новых технологий для повышения уровня безопасности и минимизации рисков, связанных с их применением.

Современные тенденции в защите критической инфраструктуры
В последние годы в сфере защиты критической информационной инфраструктуры наблюдается ряд тенденций, которые определяют развитие этой области в ближайшем будущем:

1. Переход от периметровой защиты к многоуровневой. Традиционный подход к защите, основанный на создании непроницаемого периметра вокруг информационной системы, становится все менее эффективным в условиях растущей сложности информационных систем и увеличения количества удаленных пользователей. На смену ему приходит концепция многоуровневой защиты, предполагающая создание нескольких рубежей обороны и контроль доступа на каждом из них.
2. Развитие концепции нулевого доверия (Zero Trust). Эта концепция предполагает отказ от доверия по умолчанию к любым пользователям и устройствам, даже если они находятся внутри периметра организации. Вместо этого каждый запрос на доступ проверяется с учетом контекста (кто запрашивает доступ, к чему, когда, откуда и т.д.).
3. Автоматизация процессов защиты. В условиях постоянно растущего количества угроз и инцидентов безопасности ручная обработка всех событий становится невозможной. Поэтому все большее значение приобретает автоматизация процессов мониторинга, обнаружения и реагирования на инциденты.
4. Использование искусственного интеллекта и машинного обучения для защиты. Эти технологии позволяют автоматически анализировать большие объемы данных о событиях безопасности, выявлять аномалии и потенциальные угрозы, а также предсказывать возможные атаки.
5. Повышение внимания к безопасности цепочек поставок. Многие современные атаки направлены не непосредственно на целевую организацию, а на ее поставщиков или партнеров. Поэтому все большее значение приобретает контроль безопасности всей цепочки поставок программного обеспечения и оборудования.
6. Развитие государственно-частного партнерства. Учитывая, что значительная часть критической инфраструктуры находится в частной собственности, эффективная защита КИИ невозможна без тесного сотрудничества государства и бизнеса.
7. Международное сотрудничество. Киберугрозы не знают границ, поэтому для эффективной защиты КИИ необходимо международное сотрудничество в области обмена информацией о угрозах и реагирования на инциденты.

Эти тенденции отражают эволюцию подходов к защите критической информационной инфраструктуры в ответ на изменение характера угроз и развитие технологий. Они формируют новую парадигму безопасности, основанную на принципах многоуровневой защиты, нулевого доверия, автоматизации и сотрудничества.

Геополитические аспекты защиты КИИ
Защита критической информационной инфраструктуры имеет важное геополитическое значение. В современном мире кибератаки становятся инструментом геополитического влияния, а уровень защищенности КИИ является показателем национальной безопасности и суверенитета государства.

Среди геополитических аспектов защиты КИИ можно выделить следующие:

1. Кибератаки как инструмент геополитического влияния. Некоторые государства используют кибератаки для достижения своих геополитических целей, включая дестабилизацию ситуации в других странах, получение доступа к конфиденциальной информации, нарушение работы критической инфраструктуры и т.д.
2. Технологическая зависимость как фактор геополитической уязвимости. Страны, которые зависят от иностранных технологий в области информационной безопасности, могут быть более уязвимы для кибератак и внешнего влияния.
3. Цифровой суверенитет. Все больше стран стремятся к обеспечению цифрового суверенитета, то есть к контролю над своим цифровым пространством и независимости от иностранных технологий. Это включает разработку собственных технологий защиты КИИ, локализацию данных, контроль над интернет-трафиком и т.д.
4. Международное сотрудничество и конкуренция. В области защиты КИИ наблюдается как сотрудничество между странами (обмен информацией о угрозах, совместное реагирование на инциденты), так и конкуренция (разработка более эффективных средств защиты и нападения).
5. Нормативное регулирование киберпространства. На международном уровне ведутся дискуссии о разработке норм ответственного поведения государств в киберпространстве, включая запрет на атаки на критическую инфраструктуру других стран.

В этих условиях защита КИИ становится не только технической, но и политической задачей. Она требует не только внедрения эффективных технических средств защиты, но и развития международного сотрудничества, разработки норм ответственного поведения в киберпространстве, обеспечения технологической независимости и цифрового суверенитета.

Российская Федерация активно участвует в международных дискуссиях по вопросам информационной безопасности и выступает за разработку универсальных правил ответственного поведения государств в информационном пространстве. При этом Россия также развивает собственные технологии защиты КИИ и стремится к обеспечению технологической независимости в этой области.

Процесс оценки рисков для объектов КИИ включает следующие этапы:

1. Идентификация активов. На этом этапе определяются информационные активы объекта КИИ, которые подлежат защите.
2. Идентификация угроз. На этом этапе выявляются потенциальные угрозы безопасности для каждого актива.
3. Анализ уязвимостей. На этом этапе определяются уязвимости, которые могут быть использованы для реализации угроз.
4. Оценка вероятности реализации угроз. На этом этапе оценивается вероятность реализации каждой угрозы с учетом существующих уязвимостей и мер защиты.
5. Оценка возможных последствий. На этом этапе оценивается ущерб, который может быть причинен в результате реализации угроз.
6. Расчет рисков. На этом этапе рассчитывается величина риска для каждой пары «угроза-уязвимость».
7. Ранжирование рисков. На этом этапе риски ранжируются по их величине для определения приоритетов в области защиты.

Результаты оценки рисков используются для разработки мер по обеспечению безопасности объектов КИИ, включая выбор средств защиты, разработку политик и процедур безопасности, планирование ресурсов и т.д.

Разработка и внедрение политик безопасности
Политика безопасности является основополагающим документом, определяющим подход организации к обеспечению безопасности информации. Для объектов КИИ разработка и внедрение эффективной политики безопасности имеет особое значение.

Политика безопасности для объектов КИИ должна учитывать требования законодательства, результаты оценки рисков, особенности функционирования объекта КИИ и доступные ресурсы. Она должна быть согласована с общей стратегией безопасности организации и поддерживать ее бизнес-цели.

Процесс разработки политики безопасности для объектов КИИ включает следующие этапы:

1. Анализ требований. На этом этапе определяются требования законодательства, регуляторов, отраслевых стандартов и внутренних документов организации к безопасности объектов КИИ.
2. Оценка рисков. На этом этапе проводится оценка рисков для объектов КИИ, результаты которой будут использоваться при разработке политики безопасности.
3. Определение целей и принципов безопасности. На этом этапе формулируются цели и принципы, которые будут лежать в основе политики безопасности.
4. Разработка политики безопасности. На этом этапе разрабатывается сам документ, определяющий подход организации к обеспечению безопасности объектов КИИ.
5. Согласование и утверждение политики безопасности. На этом этапе политика безопасности согласовывается с заинтересованными сторонами и утверждается руководством организации.
6. Внедрение политики безопасности. На этом этапе политика безопасности доводится до сведения всех сотрудников организации и начинает применяться на практике.
7. Мониторинг и пересмотр политики безопасности. На этом этапе осуществляется контроль за соблюдением политики безопасности и ее пересмотр при изменении требований или условий функционирования объектов КИИ.

Обучение персонала и повышение осведомленности в области безопасности объектов КИИ включает следующие направления:

1. Базовое обучение по информационной безопасности. Все сотрудники организации должны пройти базовое обучение по основам информационной безопасности, включая правила работы с информацией, использование паролей, защиту от социальной инженерии и т.д.
2. Специализированное обучение для ИТ-персонала. Сотрудники, ответственные за эксплуатацию и обслуживание объектов КИИ, должны пройти специализированное обучение по вопросам безопасности информационных систем, сетей и автоматизированных систем управления.
3. Обучение для специалистов по информационной безопасности. Сотрудники, ответственные за обеспечение безопасности объектов КИИ, должны пройти углубленное обучение по вопросам защиты информации, включая технические, организационные и правовые аспекты.
4. Обучение для руководителей. Руководители организации должны понимать важность обеспечения безопасности объектов КИИ и свою роль в этом процессе.
5. Программы повышения осведомленности. Эти программы направлены на формирование у сотрудников культуры безопасности и включают различные мероприятия: рассылки, плакаты, видеоролики, конкурсы и т.д.

Обучение должно быть непрерывным процессом, а не разовым мероприятием. Это связано с тем, что угрозы безопасности постоянно эволюционируют, появляются новые виды атак, изменяются требования законодательства и регуляторов.

Для повышения эффективности обучения рекомендуется использовать различные форматы: очные тренинги, вебинары, электронные курсы, практические упражнения, симуляции кибератак и т.д. Выбор формата зависит от целей обучения, целевой аудитории и доступных ресурсов.
Важным аспектом является оценка эффективности обучения.

Необходимо регулярно проверять, насколько сотрудники усвоили материал и применяют полученные знания на практике. Для этого могут использоваться тесты, практические задания, симуляции фишинговых атак и другие методы.

Обучение персонала и повышение осведомленности должны быть интегрированы в общую систему управления безопасностью объектов КИИ и поддерживать ее цели. Они должны учитывать специфику организации, особенности ее деятельности и корпоративной культуры.

Процесс управления инцидентами безопасности для объектов КИИ включает следующие этапы:

1. Подготовка. На этом этапе создаются условия для эффективного управления инцидентами: разрабатываются политики и процедуры, формируется команда реагирования на инциденты, проводится обучение персонала, внедряются технические средства обнаружения и реагирования на инциденты.
2. Обнаружение и регистрация. На этом этапе выявляются события безопасности, которые могут быть инцидентами, и регистрируются в системе управления инцидентами.
3. Первичная оценка и классификация. На этом этапе проводится первичная оценка зарегистрированных событий, определяется, являются ли они инцидентами безопасности, и если да, то классифицируются по типу, серьезности и приоритету.
4. Реагирование. На этом этапе принимаются меры по устранению инцидента и минимизации его последствий. Это может включать изоляцию пораженных систем, блокировку атаки, восстановление данных и т.д.
5. Расследование. На этом этапе проводится детальное расследование инцидента для определения его причин, механизма реализации и последствий.
6. Устранение последствий. На этом этапе принимаются меры по полному устранению последствий инцидента и восстановлению нормального функционирования объекта КИИ.
7. Анализ и извлечение уроков. На этом этапе анализируется опыт реагирования на инцидент, определяются уроки, которые можно извлечь, и разрабатываются рекомендации по предотвращению подобных инцидентов в будущем.
8. Информирование. На этом этапе информация об инциденте доводится до соответствующих сторон, включая руководство организации, регуляторов, правоохранительные органы и т.д.

Для объектов КИИ особое значение имеет взаимодействие с ГосСОПКА при управлении инцидентами безопасности. Субъекты КИИ обязаны информировать ФСБ России о компьютерных инцидентах и реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак в соответствии с требованиями ГосСОПКА.

Эффективное управление инцидентами безопасности требует наличия соответствующих ресурсов: квалифицированного персонала, технических средств обнаружения и реагирования на инциденты, систем управления инцидентами и т.д. Также важно регулярно проводить тренировки по реагированию на инциденты, чтобы персонал был готов к действиям в реальной ситуации.

Анализ инцидентов безопасности является ценным источником информации для совершенствования системы защиты объектов КИИ. Он позволяет выявить уязвимости, недостатки в политиках и процедурах безопасности, проблемы с обучением персонала и т.д. Эта информация должна использоваться для постоянного улучшения системы безопасности.