Выполнение требований законодательства о безопасности критической информационной инфраструктуры

С 1 января 2018 года вступили в силу положения Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», обязывающие все организации определить, есть ли у них информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления, попадающие под понятие «критическая информационная инфраструктура». Если есть, то провести их категорирование в зависимости от того, с какими последствиями осуществлялись на них компьютерные атаки и компьютерные инциденты. И присвоить (или не присвоить) одну их категорий в зависимости от значимости. В случае присвоения категории значимый объект критической информационной инфраструктуры попадает в соответствующий реестр и на него распространяются определенные требования по безопасности. За невыполнение этих требований предусмотрена административная ответственность, а если компьютерный инцидент или компьютерная атака привела к серьезным последствиям, то должностные лица на предприятии рискуют попасть и под уголовную ответственность. Положения данного закона распространяются на очень большое количество организаций – государственные органы и учреждения, предприятия в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере, топливно-энергетического комплекса, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности и т.д. А это половина российских учреждений и организаций.

Целевая аудитория

• заместители руководителей предприятий по безопасности, директора по безопасности;
• руководители и работники подразделений безопасности;
• специалисты по информационной безопасности;
• специалисты ИТ-подразделений;
• специалисты по ИТ-безопасности и кибербезопасности;
• корпоративные юристы;
• работники, участвующие в защите критической информационной инфраструктуры.

Программа семинара

• Законодательство Российской Федерации в области защиты информации. Основные нормативные правовые акты, определяющие понятие «критическая информационная инфраструктура» и требования по ее безопасности.
• Основные положения Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Требования постановлений Правительства РФ, приказов ФСТЭК и ФСБ по обеспечению ее безопасности.
• Понятие «объект критической информационной инфраструктуры», а также понятия «компьютерная атака» и «компьютерный инцидент». Порядок информирования о них в уполномоченные органы.
• Понятие «субъект критической информационной инфраструктуры». Кто попадает под это понятие, его права и обязанности.
• Полномочия органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры. Порядок взаимодействия с субъектами критической информационной инфраструктуры.
• Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и ее взаимодействие с критической информационной инфраструктурой. Перечень информации, предоставляемой в ГосСОПКУ субъектами критической информационной инфраструктуры.
• Национальный координационный центр по компьютерным инцидентам. Его полномочия, права и обязанности.
• Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации. Порядок взаимодействия с Национальным координационным центром по компьютерным инцидентам.
• Показатели критериев значимости объектов критической информационной инфраструктуры и их значения, порядок и сроки осуществления категорирования. Определение исходных данных для категорирования. В каких случаях категория не присваивается?
• Порядок проведения на предприятии процедуры категорирования объектов критической информационной инфраструктуры. Сроки и оформление результатов. Комиссионность в принятии решения о присвоении категории.
• Реестр значимых объектов критической информационной инфраструктуры. Порядок ведения и предоставления в него информации.
• Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.
• Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры в зависимости от категории.
• Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости.
• Организационные, правовые, кадровые и иные мероприятия по обеспечению безопасности критической информационной инфраструктуры. Создание локальных нормативных актов.
• Пошаговый алгоритм проведения на предприятии мероприятий, связанных с выполнением требований законодательства в области безопасности критической информационной инфраструктуры. Распределение зон ответственности между подразделениями.
• Оценка безопасности критической информационной инфраструктуры. Организация проведения внутренних проверок и расследований по фактам компьютерных атак и компьютерных инцидентов.
• Осуществление государственного контроля в области безопасности значимых объектов критической информационной инфраструктуры. Плановые и внеплановые проверки, порядок и процедуры проведения. Права и обязанности проверяющих и проверяемых.
• Ответственность за нарушение требований законодательства в области безопасности критической информационной инфраструктуры.

09:30 – 10:00 - РЕГИСТРАЦИЯ
10:00 – 11:20 - Первый блок программы
11:20 – 11:35 - Кофе-пауза
11:35 – 13:00 - Второй блок программы
13:00 – 14:00 - Обед
14:00 – 15:45 - Третий блок программы
15:45 – 16:00 - Кофе-пауза
16:00 – 17:30 - Четвертый блок программы