Обеспечение безопасности объектов критической информационной инфраструктуры в соответствии с требованиями законодательства РФ

Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» установил сроки и правила категорирования  объектов критической информационной инфраструктуры.  В соответствии с требованиями законодательства РФ по КИИ один раз в год необходимо проводить обучение, работников по вопросам  обеспечения безопасности критической информационной инфраструктуры (п.15 Приказа №235 ФСТЭК от 21.12.2017).

• Что из законодательства о критической информационной инфраструктуре нужно знать собственнику бизнеса, руководителю компании, руководителю подразделения, ответственного за обеспечение безопасности, чтобы минимизировать риски привлечения к административной ответственности. Первоочередные действия руководителя компании в 2018-19гг.
• Основные понятия и определения в области КИИ. Какими нормативно правовыми актами Правительства РФ, ФСТЭК РФ и ФСБ РФ необходимо руководствоваться при организации работ по категорированию объектов КИИ в компании? Основное содержание подзаконных актов, которое необходимо Вам знать для первоочередных действий?
• Какие сроки  I и II этапов определены регуляторами по  выполнению требований ФЗ-187 и обязательные мероприятия этих этапов? Что нужно сделать до конца 2018 года по требованиям законодательства РФ по КИИ?
• Кто должен войти в состав комиссии по категорированию и кого нужно назначить ответственным?
• Какие процессы в компании необходимо отнести к критическим и как оценить последствия их нарушений? Как определить взаимосвязь объекта КИИ с критическими процессами в компании?
• Особенности формирования перечня объектов КИИ в компании. Какие объекты нужно категорировать?
• Какие объекты КИИ компания обязана будут отнести к значимым объектам?
• В каком виде необходимо отправить в вышестоящее ведомство и Управление ФСТЭК по ФО  обязательный перечень объектов КИИ? Форма документа. Какой срок установил ФСТЭК РФ для предоставления актов категорирования объектов КИИ в Управление ФСТЭК?
• Первый опыт утверждения перечня объектов Управлениями ФСТЭК в 2018г. Почему в списках оказались сотни объектов? Сколько объектов должна  утвердить комиссия по категорированию в вашей компании?
• Пошаговые действия комиссии при определении категории значимости каждого объекта КИИ.
• Какая информация по программному обеспечению, техническим средствам, средствам защиты информации, телекоммуникационным сетям, информационным системам, автоматизированным системам управления в компании, станет основой первого документа,  направляемого во Управление ФСТЭК по ФО? Как быть, если на момент подачи сведений в  Управление ФСТЭК по ФО, компания, из-за отсутствия ресурсов, не приняла организационно-технические меры по обеспечении безопасности?
• Какие приказы ФСТЭК и их содержание, нужно учитывать, кроме документов по КИИ, при категорировании объектов?
• Какой срок установил ФСТЭК РФ для мероприятий по обеспечению безопасности значимых объектов КИИ?
• Почему ФСТЭК интересуют только значимые объекты КИИ, а ФСБ и Прокуратуру интересуют все объекты?
• Впервые за защиту информации введена уголовная ответственность. Какие составы ст.274.1 Уголовного кодекса РФ являются критичными для руководителей компании и ответственных за обеспечение безопасности?
• Как ФСТЭК может привлечь к административной ответственности руководителя организации?
• Как ФСБ может привлечь к уголовной ответственности руководителя организации?
•  Формирование требований по обеспечении безопасности значимых объектов.
• Разработка технического задания. Разработка модели угроз безопасности объекта КИИ.
• Требования к организационно-распорядительным документам по безопасности значимых объектов.
• Какие средства защиты информации необходимо установить, настроить и провести приемочные испытания?
• В каких случаях направляется Модель угроз во ФСТЭК, если объект КИИ в учреждении является ГИС.
• Должен ли учитываться и как определить масштаб возможных последствий в случае возникновения компьютерных инцидентов на значимом объекте?
• Можно ли учитывать компенсирующие меры, в случае если не установлены средства защиты информации, при определении категории значимости?
• Почему информирование, обучение персонала и повышение квалификации ответственного за защиту информации стало обязательным по федеральному законодательству? Какие требования предъявляются к обучению работников (пользователей) и ответственных за обеспечение безопасности в компании?
• Какую информацию учреждение обязано предоставлять в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на объекты организации?
• Перечень и порядок предоставления информации в ГосСОПКа в соответствии с Приказом ФСБ России№ 367 от 24.07.2018г.
• Порядок обмена информацией о компьютерных инцидентах и Порядок получения информации о средствах и способах проведения компьютерных атак и о методах их предупреждения в соответствии с Приказом ФСБ №368 от 24.07.2018г.
• Национальный координационный центр по компьютерным инцидентам и субъект КИИ. Действия организации и предприятия в соответствии с Приказом ФСБ №366 от 24.07.2018г.
• В НКЦКИ необходимо передавать информацию по каждому компьютерному инциденту или только по инцидентам на значимых объектах КИИ?
• Кто в учреждении обязан отправлять информацию об компьютерных инцидентах в НКЦКИ?

• Подготовка перечня процессов в компании, которые обеспечивают основные виды деятельности.
• Подготовка перечня объектов КИИ в компании, для согласования с вышестоящим ведомством.
• Подготовка первого документа для Управления ФСТЭК по ФО – «Перечень объектов критической информационной инфраструктуры  АО «__________»»
• Пошаговый алгоритм создания системы защиты объектов КИИ (действие; правовое основание действия; какой документ необходимо принять; краткое содержание документа)