Объекты, отнесенные к критической информационной инфраструктуре (КИИ), требуют принятия особых мер для обеспечения безопасности.
Причем это касается не только государственных учреждений. На любом более-менее крупном предприятии имеются объекты КИИ. Они позволяют интеллектуализировать производство, контролировать бизнес-процессы, что способствует увеличению прибыли организации. Обязанность по обеспечению безопасности КИИ в полной мере ложится на предприятие.
С чего начинается организация безопасности КИИ
В первую очередь необходимо выяснить: действительно ли предприятие можно отнести к субъектам КИИ. Для этого придется углубиться в изучение законов или обратиться за консультацией к специалисту. Если выяснится, что организация в самом деле соответствует указанным критериям, нужно будет заняться категорированием объектов.
О результатах процедуры категорирования нужно уведомить соответствующие госструктуры – ФСТЭК РФ. Без проведения данной процедуры не удастся уточнить весь спектр технических и организационных мер, которые придется предпринять для создания эффективной системы защиты. По итогам категорирования определяют объем предстоящих работ в сфере обеспечения безопасности КИИ.
Если при расследовании инцидентов в сфере информационной безопасности будет установлен факт допущения нарушений в защите КИИ из-за того, что категорирование не было проведено либо его результаты были занижены, предприятие понесет наказание, предусмотренное законодательством.
Например, если на компьютерное оборудование не были установлены антивирусные программы, в результате чего сеть была взломана и произошла утечка персональных данных, придется заплатить крупный денежный штраф. А если госструктуры не были своевременно проинформированы о данном происшествии, сумма штрафа окажется в несколько раз больше.
Процесс организации защиты КИИ
Подразделения и работники, ответственные за обеспечение информационной безопасности, обязаны выполнять ряд функций:
- Разрабатывать предложения для совершенствования документации, касающейся безопасности КИИ.
- Анализировать существующие угрозы и выявлять наиболее уязвимые точки.
- Реализовывать требования по защите информации.
- Организовать процесс внедрения технологий защиты информации.
- Своевременно реагировать на обнаружение любых компьютерных инцидентов.
- Периодически оценивать уровень соответствия защиты актуальным требованиям.
На специалистов, призванных обеспечивать безопасность КИИ, нельзя возлагать иные функции.