Блог экспертов

Критическая информационная инфраструктура:
что это, и какие компании к ней относятся


🕔 ≈ 2 мин
В середине мая Федеральная служба технического экспортного контроля разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ).
До этого, в конце марта, Правительство Р Ф внесло в Госдуму законопроект, который может наделить кабмин полномочиями определять типы информационных систем в каждой отрасли, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры. Все они с 2025 года перейдут на отечественное ПО — и законопроект закрепляет правила этого перехода.
Разберемся в теме подробнее.

Что такое объекты КИИ?

Критическая информационная инфраструктура (КИИ) — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов. В инфраструктуру КИИ входят:
1. Программное обеспечение, в том числе средства защиты и приложения.
2. Каналы шифрования и защиты, сертифицированные средства криптографии.
3. Программно-аппаратные комплексы или «железо».
Объекты КИИ автоматизируют критические бизнес-процессы субъектов инфраструктуры.

Кто является субъектом КИИ?

Субъектами КИИ являются компании, работающие в стратегически важных для государства областях: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, а также оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.

Кто принимает решение об отнесении бизнеса или функций к субъекту КИИ?

В случаях, когда бизнес компании не относится к категории стратегически важных для государства областей (указанных выше), компания сама принимает решение о том, относить ли свою деятельность и процессы к КИИ.
Элементы ИТ-инфраструктуры, которые поддерживают HR-процессы, а также процессы бухгалтерского и налогового учета, оформления командировок, поддержки продаж и закупок и многие другие «бэк-офисные» функции не относятся к объектам КИИ, если компании-субъекты не считают их таковыми.
При этом, даже если компания является субъектом КИИ, но ее поддерживающие бизнес-процессы не определяются как объекты этой системы, она может передавать на аутсорсинг поддерживающие процессы провайдеру, который не является субъектом КИИ.

Какие ограничения накладывает отнесение бизнес-процессов к критическим на компанию-субъект КИИ?

В этом случае у компании появляются дополнительные расходы на приведение всех элементов в соответствие требованиям. Прежде всего, к ним относятся инвестиции в ИТ, а также в человеческие ресурсы на мониторинг защищенности компании и взаимодействие с регуляторами.
15 ИЮЛЯ / 2024
Авторы: Алексей Кузнецов, Руководитель направления информационной безопасности;
Дмитрий Катышкин, Главный специалист отдела методологического обеспечения информационной безопасности.
Фотография: Центр Корпоративных решений

Хотите узнать больше?
Напишите нам
Отдел продаж, маркетинга и PR
8 (800) 600-27-55
sales@cscentr.com

Вас может заинтересовать

Другие статьи по теме