Категорирование объектов КИИ
Дата: 9 августа 2023 года
Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления технологическими процессами, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
1. Как понять, является ли организация субъектом КИИ?
В первую очередь, определите свои сферы деятельности согласно ОКВЭД, определите, попадает ли ваша сфера деятельность под сферы деятельности, указанные в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187): сферы здравоохранения, науки, транспорта, связи, энергетики, банковская сфера и иных сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, сферы оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
2. Что такое категория значимости и для чего она нужна?
Категория значимости объекта КИИ – главный показатель объектов КИИ, исходя из которого будет определено направление дальнейших работ для выполнения требований ФЗ-187, в частности, определен набор необходимых организационных и технических мер защиты, исходя из присвоенной категории. Перечень показателей критериев значимости представлен в Постановлении Правительства № 127. Категория значимости определяется, исходя из масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.
3. Показатели критериев значимости объектов КИИ
Всего определено три категории — первая, вторая или третья (в порядке убывания значимости). Объекты КИИ, которым была присвоена одна из категорий, называются значимыми объектами КИИ. Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается, но при этом у субъекта КИИ есть обязанность передачи сведений о компьютерных инцидентах в Государственную систему предотвращения и обнаружения компьютерных атак (ГосСОПКА).
4. Как происходит категорирование объектов КИИ?
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей.
В рамках категорирования объектов КИИ необходимо сделать следующие шаги:
- создать комиссию по категорированию;
- определить все процессы организации и выделить из них критические;
- определить объекты КИИ, реализующие критические процессы;
- сформировать перечень объектов КИИ, подлежащих категорированию и направить его во ФСТЭК России;
- собрать исходные данные для категорирования и провести категорирование объектов КИИ;
- подготовить акты и сведения о категорировании объектов КИИ;
- направить сведения о категорировании во ФСТЭК России.
5. Особенности анализа угроз при категорировании объектов КИИ
В первом случае решается задача выбора мер защиты и способов их реализации. Чтобы определить адекватную реализацию меры защиты (например, требуется ли для защиты от сетевых атак применять межсетевой экран прикладного уровня или достаточно обойтись сигнатурной системой обнаружения вторжений), нужно оценить все возможные способы проведения атак — и для этого требуется использовать Банк данных угроз и уязвимостей ФСТЭК России.
Во втором случае, для оценки негативных последствий нарушения работы объекта КИИ такая степень детализации бесполезна, в ряде случаев — невозможна, а главное — не требуется.
6. Что понадобится для подачи информации во ФСТЭК?
В реестр включается следующая информация:
-
наименование значимого объекта КИИ;
-
наименование субъекта КИИ;
-
сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
-
сведения о лице, эксплуатирующем значимый объект КИИ;
-
присвоенная категория значимости;
-
сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
-
меры, применяемые для обеспечения безопасности значимого объекта КИИ.
7. Сроки категорирования КИИ, сроки подачи документов, сроки пересмотра категории объекта и т.д.
Перечень объектов КИИ необходимо подать во ФСТЭК в течение 5 дней после утверждения.
Решение комиссии оформляется соответствующим актом и в течение 10-ти дней после его утверждения, сведения о категорировании направляется во ФСТЭК России.
Предоставленные материалы в тридцатидневный срок со дня получения проверяются регулятором на соответствие порядку осуществления категорирования и оценивается правильность присвоения категории.
Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет, а также в случае изменения показателей критериев значимости, указанных в ПП-127.
8. Особенности категорирования объектов КИИ в различных отраслях
- Показатель 1 – Причинение ущерба жизни и здоровью людей (человек).
- Показатель 9 – Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период).
- Показатель 11 – Вредные воздействия на окружающую среду.
Источник статьи: https://in4security.com/bezopasnost-kii/tpost/r6jhiy9p41-kategorirovanie-obektov-kii
Академия АйТи
a Softline Company
Ведущий консалтинговый центр получения дополнительного профессионального образования
Забыли пароль?
Мы используем файлы cookie
Мы используем файлы cookie в соответствии с политикой в отношении файлов cookie, чтобы обеспечить лучшую работу с сайтом.
Корзина
Курс добавлен в корзину, теперь нужно