Реализация требований Федерального закона "О безопасности критичной информационной инфраструктуры Российской Федерации" №187 в компании Топливно-энергетического комплекса"

Иванов И.О.

выпускник группы MBACSO-21

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Введение

В данной аттестационной работе рассмотрен вопрос реализации требований Федерального закона от 26.07.2017№187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Федеральный закон №187) в компании Топливно-энергетического комплекса (Компания).

В связи с постоянным повышением сложности и увеличением масштабов скоординированных компьютерных атак на объекты критической информационной инфраструктуры (КИИ) Российской Федерации в Доктрине информационной безопасности Российской Федерации зафиксировано, что одним из национальных интересов Российской Федерации является обеспечение устойчивого и бесперебойного функционирования КИИ Российской Федерации, и что стратегической целью является обеспечение информационной безопасности (ИБ) КИИ.

В связи с этим 26.07.2017 был подписан Федеральный закон №187, который вступил в силу 01.01.2018.  Требованияданного Федерального закона являются обязательными для компаний из сфер здравоохранения, науки, транспорта, связи, банковской сфере и иных сфер финансового рынка, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также энергетики и топливно-энергетического комплекса.

Объект проектного исследования

Объектом проектного исследования является Компания топливно-энергетического комплекса, основным видом деятельности которой является производство и продажа электрической энергии и тепловой энергии. Компания состоит из головного офиса и 5 филиалов, расположенных в различных регионах Российской Федерации.

Цель аттестационной работы

Целью аттестационной работы являетсяанализ требований Федерального закона№187 и его подзаконных актов, разработка дорожной карты по реализации данных требований и выполнение мероприятий согласно разработанной дорожной карты в Компании для дальнейшего прохождения государственного контроля в области обеспечения безопасности объектов КИИ.

Практическая значимостьаттестационной работы

Практическая значимость аттестационной работы обусловленатем, что обозреваемая тема новая и выполнение требований Федерального закона№187 для рассматриваемой Компании обязательно, т.к. она работает в сфере топливно-энергетического комплекса. Также реализация требований данного Федерального закона и его подзаконны актов позволит существенно усилить уровень ИБ автоматизированных систем управления технологическими процессами (АСУ ТП) и информационных систем Компании, что позволит снизить вероятность несанкционированного вмешательства в работу АСУ ТП и информационных систем,обеспечить их функционирование в штатном режиме,и минимизировать последствия реализации угроз ИБ.

Содержание аттестационной работы

Теоретическая часть аттестационной работы содержит обзор и анализтребований Федеральный закон №187 и его подзаконных актов.

Практическая частьаттестационной работысодержит:

1.      Описание текущего состояние в части обеспечения ИБ объектов КИИ Компании.

2.      Основные требования для реализации по результатам теоретической части.

3.      Разработанную дорожную карту работ по реализации требований Федеральный закон №187 и его подзаконных актов.

В рамках данной аттестационной работы рассмотрена реализация части требований, обозначенных в дорожной карте работпо реализации требований данного Федерального закона, но только для АСУ ТПи информационных систем производственного блока (ИС ПБ), корпоративные информационные системы не рассматриваются в данной аттестационной работе:

1.      Разработка организационно-распорядительной документации по безопасности объектов КИИ Компании: Политика ИБ АСУ ТПи ряд Положений, которые уже детализируют требования Политики ИБ АСУ ТП или расширяют ее.

2.      Создание сил обеспечения безопасности объектов КИИ Компании:

·         назначение уполномоченных лиц по обеспечению безопасности объектов КИИ в головном офисе и филиалах Компании;

·         формирование отделов или назначение выделенных сотрудников обеспечивающих ИБ АСУ ТП в филиалах и головном офисе Компании;

·         разработка и утверждение Положений об отделах ИБ АСУ ТП и должностных инструкций сотрудников данных отделов или выделенных сотрудников;

·         внесение вдолжностные инструкции сотрудников подразделений, обеспечивающих функционирование АСУ ТП, и подразделений, эксплуатирующих АСУ ТП, обязанностей по соблюдение требований ИБ.

3.      Проведение категорирования объектов КИИ на примере одного из объектов КИИ Компании:

·         создание комиссии по категорированию объектов КИИ в филиалах Компании и рабочей группы по категорированию объектов КИИ в головном офисе Компании;

·         формирование Перечня объектов КИИ подлежащих категорированию;

·         проведение категорирование объекта КИИ;

·         формирование акта категорирования объекта КИИ.

В заключительной части аттестационной работы подведены выводы о проделанной работе.