Блог-новости

Самые распространенные заблуждения по вопросу КИИ

Статьи
Вопрос принадлежности предприятия или учреждения к субъектам Критической Информационной Инфраструктуры сегодня становится актуальным в силу того, что государственные контролирующие органы начинают уделять ему очень большое внимание. В нашей короткой статье мы постараемся показать самые распространенные заблуждения и ошибочные мнения заказчиков по поводу КИИ и ФЗ 187.

1.     Мы не секретное предприятие, у нас нет первого отдела, мы не КИИ.
Отсутствие доступа к информации, составляющей государственную тайну не означает то, что ваше юридическое лицо не попадает под действие ФЗ 187. Сам закон, в принципе не всегда оперирует понятием «секретной информации» и «гостайны». Здесь мы видим упоминание «чувствительных данных» и «серьезных социальных, экономических и политических последствий», которые могут наступить вследствие кражи, порчи, изменения информации в сети субъекта КИИ. Если перевести с языка юридического на обычный, то утеря базы данных пациентов обычной городской поликлиники будет иметь социальные и экономические последствия в виде нарушения работы системы здравоохранения и распределения медицинских услуг и лекарств на подведомственной данному учреждению территории. А, значит, в данном учреждении должна действовать система предотвращения компьютерных инцидентов и компьютерных атак. То есть, данное учреждение является субъектом КИИ.

2.     Мы не государственная структура, а частная. Мы ООО.
И здесь придется разочаровать тех, кто уверен, что защита Критической Информационной Инфраструктуры – это, исключительно, прерогатива государственных структур. Дело это важное, дело это всеобщее. А если без лозунгов, то открываем ФЗ 187 и видим, что субъектами КИИ могут, согласно пункту 8 статьи 2, являться «государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели». И получается, что частная клиника может, наряду с клиникой государственной или муниципальной, являться субъектом КИИ. Все дело в объектах КИИ, которые находятся в зоне ответственности субъекта КИИ. Собственно, об этом и говорит 8 пункт статьи 2 ФЗ 187 «которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей». А объектом КИИ может оказаться то, о чем вы и не подозревали, например, сервер с 1С-предприятием.

3.     Нам не приходило никаких предписаний.
Не приходило и не придет. Федеральный Закон за номером 187 вступил в силу с 1 января 2018 года. И в любой момент, руководителя любого юридического лица могут спросить категорировалось ли его предприятие или нет. А если категорировалось и получило категорию, то далее по пунктам: типы угроз, план мероприятий, список ответственных сотрудников и структурных единиц. Если раньше контроль за исполнением данного ФЗ был нулевым, то сейчас дело идет к полноценному соблюдению всех норм. И это не прихоть государственных органов, это то, что диктует нам реальность.

Другими словами, ФЗ 187 может быть применено, практически, в любой момент, к любому юридическому лицу в Российской Федерации. И, как говорится, желательно быть готовыми и соответствовать.
Центр Импортозамещения «Лимарк» поможет вам разъяснить все непонятные и спорные моменты, связанные с ФЗ 187.