Сертификация ФЗ-187

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ вступил в силу 1 января 2018 года и ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ.

Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Под объектами КИИ понимаются информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ.

В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России, а также провести ряд других организационных и технических мероприятий в соответствии с Приказом ФСТЭК России № 235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования», а также приказом ФСТЭК России № 236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий». Рекомендуемый срок – январь 2019 года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути. При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ.

Ответственность за невыполнение требований КИИ:

• Административная ответственность:
  • Статья 13.2 Самовольное подключение к сети электрической связи оконечного оборудования.
  • Статья 13.6. Использование средств связи или не сертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям.
  • Статья 13.12 Нарушение правил защиты информации.
  • Статья 13.14. Разглашение информации с ограниченным доступом.
  • Статья 13.25. Нарушение требований законодательства о хранении документов.
  • Статья 20.30 Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса
• Уголовная ответственность:
  • Статья 217.1. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса.
  • Статья 272. Неправомерный доступ к компьютерной информации.
  • Статья 273. Создание, использование и распространение вредоносных компьютерных программ.
  • Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
  • Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
  • Статья 283. Разглашение государственной тайны.
  • Статья 284. Утрата документов, содержащих государственную тайну.
  • Статья 293. Халатность.
• Высокие штрафы и санкции за невыполнение требований ФЗ-187 и вследствиe этого возникновение инцидентов.

Чтобы избежать внеплановых проверок, а также соответствовать требованиям законодательства по обеспечению безопасности значимых объектов КИИ  мы предлагаем Вам пройти процедуру подтверждения соответствия (сертификации) системы менеджмента безопасности объектов КИИ по требованиям ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187).

Подтверждение соответствия требованиям ФЗ-187 проводится в системе добровольной сертификации «ВРК» (№ РОСС RU.З1912.04ВРК0), с учетом с требований международных стандартов ISO/IEC 17065, ISO/IEC 17021, ISO/IEC 17024, ISO 19011. Настоящий сертификат обязывает организацию поддерживать состояние системы менеджмента безопасности значимых объектов КИИ в соответствии с ФЗ-187, и будет подтверждаться при прохождении ежегодного инспекционного контроля.

Чтобы пройти сертификацию ФЗ-187 необходимо?

• Заполнить заявку на сертификацию ФЗ-187
• Заключить договор на сертификацию и произвести оплату;
• Пройти процедуру аудита на соответствие требованиям нормативно-правовых актов по обеспечению безопасности значимых объектов КИИ;
• Получить от уполномоченного органа сертификат соответствия ФЗ-187.

Заявка на сертификацию ФЗ-187

Дополнительно к «Сертификату соответствия ФЗ-187», на основе анализа и проведенной оценки рисков информационной безопасности (кибер-рисков) предоставляется возможность получения Полиса страхования кибер-рисков от аккредитованных международных страховых компаний (страхование с покрытием убытков от утечки персональных данных, расследований и санкций контролирующих органов и др.).

С подробной информацией о процедуре и стоимости страхования кибер-рисков Вы можете ознакомиться в разделе "Страхование кибер-рисков"

Какие преимущества дает сертификат «Сертификат соответствия ФЗ-187»:

• Сокращает риски внезапных и плановых проверок контролирующими органами;
• Облегчает доступ в работе с крупными Российскими и иностранными компаниями;
• Позволяет избежать утечки персональных данных и использование их третьими лицами;
• Обеспечение необходимого уровня информационной и экономической безопасности;
• Юридически защищённый документооборот;
• Повышение уровня комплексной безопасности и защищённости КИИ;
• Повышение результативности и управляемости деятельности КИИ;
• Оптимизация бизнес-процессов;
• И многие другие…

Дополнительные услуги. Стоимость определяется в индивидуальном порядке:

• Внедрение ФЗ-187. Категорирование объектов КИИ. Проведение организационных и технических мероприятий по защите информации и обеспечению безопасности объектов КИИ. Разработка необходимого пакета документов и др.;
• Сертификация и обучение персонала по требованиям ФЗ-187, ФЗ-152, GDPR, ГОСТ Р / ISO 27001, СТО БР ИББС, ГОСТ Р 57580, ГОСТ РВ 0015-002 и др.
• Аудит на соответствие требованиям GDPR, ФЗ-152, ФЗ-187, ГОСТ Р / ISO 27001, ГОСТ Р 57580 и др.;
• Сертификация систем менеджмента по требованиям ГОСТ Р / ISO 9001, ГОСТ Р / ISO 27001, ГОСТ Р / ISO 20000, ГОСТ Р 57580, ГОСТ РВ 0015-002 и др.;
• Тесты на проникновение (пентесты) и анализ уязвимостей;
• Оценка рисков (кибер-рисков) информационной безопасности;
• Страхование кибер-рисков от ведущих аккредитованных страховых компаний;