Категорирование объектов критической информационной инфраструктуры

Категорированием КИИ называют определение для соответствующего объекта критической информационной инфраструктуры соответствия критериям значимости, с учетом показателей их значений, для присвоения данному объекту соответствующей категории значимости, либо проверку справедливости ранее проведенной аналогичной процедуры.

Компания УЦ ПРОФИ оказывает услуги по категорированию объектов КИИ для организаций различных отраслей и масштаба.

Объекты критической информационной инфраструктуры, подлежащие категорированию

Технологическая независимость и информационная безопасность России невозможна без системного контроля средств связи и распространения информации – автоматизированных систем управления, телекоммуникационных сетей, других коммуникаций. Руководству организации важно понимать, подпадает ли субъект хозяйствования под требования российского законодательства по КИИ, включая необходимость категорирования объектов критической информационной инфраструктуры.

Данное мероприятие необходимо проводить для следующих объектов:

информационных систем (ИС) – совокупности сведений, хранящихся в базах данных, включая технологии и средства для обработки указанных массивов;
информационно-технологических систем (ИТС) – комплексов для обмена информацией посредством компьютерной техники;
автоматизированных систем управления технологическими процессами (АСУ ТП) – программного обеспечения с аппаратными средствами, применяемыми для контроля функционирования производственного оборудования (исполнительных органов), технологических процессов, координирования работы агрегатов.

Категорирование требуется на предприятиях или в организациях следующих отраслей промышленности и видов деятельности:

оборонной;
научной;
сферы здравоохранения;
энергетической, включая атомную;
коммуникаций связи;
производства топлива и других отраслях нефтепереработки;
освоения космоса, ракетостроения;
химической;
транспортной;
горной;
металлургии;
государственной регистрации прав на недвижимое имущество и сделок с ним
банковских либо финансовых услуг и пр.

Необходимость оценки объектов критической информационной инфраструктуры применима в отношении различных категорий субъектов – частных компаний, индивидуальных предпринимателей, государственных учреждений или контролирующих органов, вне зависимости от формы собственности.

Определение потребности в категорировании КИИ

Категорирование критически важных объектов информационной инфраструктуры необходимо проводить при соблюдении следующих условий:

владения соответствующими объектами, что подтверждается документами по принадлежности КИИ, взятии в аренду или другим законным основанием для распоряжения этим имуществом;
регистрации субъекта в РФ – категорирование не нужно проводить иностранным юридическим лицам.

Если любое из перечисленных условий не соблюдено, выполнять эту процедуру не требуется. Корректное проведение категорирования КИИ предполагает наличие у исполнителей узкоспециализированной подготовки, учитывая сложность точной трактовки формулировок, изложенных в действующих нормативных актах.

В соответствии с рекомендациями ФСТЭК (Федеральной службы технического и экспортного контроля в РФ), при определении целесообразности определения категории руководствуются следующим:

общероссийским классификатором ОКВЭД, исходя из вида деятельности конкретной организации;
содержанием учредительной документации субъекта хозяйствования – уставом, положением и пр.;
лицензиями, разрешениями на работы, полученными организацией.

Важно убедиться, что субъект располагает критически важными объектами информационной инфраструктуры. Выделение проводят поэтапно. Содержание отдельных этапов оценки КИИ с пояснениями представлено в таблице:

№ п/п	Наименование этапа	Содержание
1	Инвентаризация ресурсов	Чтобы собрать исходные данные для категорирования КИИ, инвентаризуют такие ресурсы: информационные – массивы, файлы и пр., с перечислением характера обрабатываемых сведений; программные – системное и прикладное программное обеспечение; технические – компьютерную технику, серверы, коммуникационные приборы, информационные носители
2	Определение целей обработки данных	Изучают, для чего нужно обрабатывать информацию
3	Идентификация процессов	Идентифицируют процессы управленческого, технологического, производственного, финансово-экономического или иного характера при работе предприятия
4	Выявление критической информационной инфраструктуры	Выявляют объекты информационной инфраструктуры, задействованные в идентифицированных процессах
5	Определение критических процессов	Определяют значимые процессы, сбои или отклонения в которых грозят нежелательными социальными, политическими, экономическими, экологическими последствиями, снижением уровня обороноспособности или безопасности государства, нарушениями общественного порядка

При выявлении потребности в категорировании объектов критической информационной инфраструктуры важно учитывать следующие особенности:

фактическая деятельность может не совпадать с декларируемой учредительной документацией, поскольку часто в устав вносят сведения о некоторых видах работ, чтобы сохранить такую возможность в дальнейшем;
научные изыскания могут проводить по грантам, выделяемым из средств государственного финансирования, что дает формальные основания для причисления организации к субъектам критической инфраструктуры; но практически идентификация нужна лишь при использовании в текущей деятельности информационных средств, подлежащих категорированию;
работа предприятия в сфере, важной для государственной безопасности, не означает обязательность проведения указанной процедуры, если при этом не задействованы объекты критической информационной инфраструктуры.

Важно собрать корректные и полные сведения об объектах исследований. Для этого необходимо привлечь специалистов, чтобы провести экспертизу для сбора и перечисления в отчете следующей информации:

данных по архитектуре КИИ, назначении, используемых средств программирования и оборудования, условий обмена информационными массивами с другими комплексами;
общего описания процессов, для автоматизации которых применяют объекты;
характера сведений, подлежащих обработке, сервисов для управления, контроля и проверки ресурсов;
деклараций промбезопасности опасных производственных комплексов, гидротехнических сооружений, паспортов топливно-энергетических агрегатов, дна которых применяют КИИ.

Окончательный вывод о потребности в категорировании можно сделать по итогам подробного изучения условий работы предприятия, при тщательном и взвешенном анализе различных факторов.

Критерии и категории значимости КИИ

При категорировании объектов КИИ выделяют следующие критерии значимости:

социальный – указывает на вероятную угрозу для жизни или здоровья граждан, риска остановки или сбоя систем жизнеобеспечения населения, транспорта, связи, сложности с предоставлением государственных услуг в течение значительного промежутка времени;
политический – опасность для проведения политики государством по внутренним и внешним направлениям;
экономический – прямой или косвенный материальный урон для коммуникаций или государственного бюджета;
экологический – риски неблагоприятного воздействия на экологию;
для обороноспособности страны, поддержания общественного порядка.

По каждой из перечисленных позиций оценивают ряд условий, согласно которым присваивают категорию объекту КИИ – с третьей (низшей) по первую (высшую). Важно корректно определить такие показатели на случай отказа или повреждения объекта КИИ:

сколько людей пострадает;
какая территория оказывается в зоне риска;
насколько значительный материальный или моральный ущерб возможен при худшем сценарии.

Ввиду многочисленных сложностей для корректности выводов, важно поручить эти мероприятия исполнителям, знающим терминологию, методы, владеющим достаточными техническими и интеллектуальными средствами для решения поставленных задач.

И даже объекты КИИ без категории значимости необходимо обследовать, чтобы объективно подтвердить отсутствие рисков, уведомив о результатах контролирующие государственные органы.

Порядок проведения процесса

Порядок категорирования объектов КИИ следующий:

формируют комиссию под председательством руководителя компании, с включением должностных лиц и специалистов, ответственных в сфере ИТ, безопасности, гражданской обороны, хранение государственной тайны;
составляют список для идентификации;
согласуют составленный перечень с ФСТЭК, направляя уведомление в установленном законодательством порядке;
собирают исходную информацию, отображая выводы в отчете по результатам экспертизы;
оценивают угрозы информационной безопасности;
устанавливают категорию значимости объектов КИИ;
сообщают об итогах проверки в ФСТЭК.

Результаты идентификации оформляют актом категорирования объекта КИИ, утверждаемом председателем комиссии.

Дополнительно можно организовать независимую экспертизу, чтобы подтвердить корректность сделанных комиссией выводов.

ФСТЭК сообщает предприятию о включении объектов КИИ в общегосударственный реестр. Получив это уведомление, необходимо принять следующие меры:

сформировать требования по обеспечению безопасности значимых средств;
уточнить модель информационной угрозы;
разработать мероприятия по предупреждению нежелательных процессов, минимизации негативных последствий в случае их возникновения;
подготовить эффективную эксплуатационную (рабочую) документацию;
принять внутренние регламентирующие документы, чтобы обеспечить безопасность эксплуатации КИИ;
выполнить другие действия для достаточной защиты объектов.

В отношении выявленной критической инфраструктуры применяются повышенные меры безопасности. Компаниям необходимо подключаться к системе ГосСОПКА, разработанной НКЦКИ для предотвращения хакерских атак, либо разрабатывать собственные средства защиты информации, назначать ответственных, выполнять другие мероприятия, направленные на исключение нежелательных событий.

Преимущества обращения в УЦ ПРОФИ

Учитывая сложность оценки критериев значимости КИИ, ответственность и важность этой процедуры, стоит привлечь специалистов, обладающих необходимыми знаниями и опытом проведения данных работ. Центр информационной безопасности УЦ ПРОФИ оказывает услуги категорирования объектов критической информационной инфраструктуры с полным соблюдением действующих законодательных норм.

Сотрудничество с нашей компанией обеспечит точность оценки, корректность оформления документов по критической информационной инфраструктуре и отсутствие претензий к субъекту со стороны контролирующих государственных органов. Это исключит назначение штрафов, но главное, защитит важные данные вашей организации от злоумышленников.

Пример категорирования КИИ

Изучить особенности категорирования критической информационной инфраструктуры можно на примере идентификации в субъекте сферы здравоохранения. При проведении данных работ в поликлинике, необходимо выполнить следующие действия:

создать комиссию по категорированию под руководством главврача;
инвентаризовать компьютерные и другие информационные ресурсы заведения;
определить объекты, которые нужно категорировать;
передать эти выводы в ФСЭК для согласования последующей процедуры;
присвоить объектам соответствующие категории опасности;
изложить результаты в акте установленной формы;
передать информацию с результатами в уполномоченный государственный орган.

Форма акта категорирования КИИ должна соответствовать утвержденному ФСТЭК образцу.

Сроки и законодательные нормы в сфере категорирования КИИ

Категорирование объектов КИИ проводится, исходя из регламента, установленного такими нормативными документами:

Федеральным законом № 187-ФЗ от 26.07.2017 г., определяющего требования по безопасности критической информационной инфраструктуры.
Приказом ФСТЭК РФ № 239 от 25.12.2017г., дополняющего и детализирующего положения 187-ФЗ.
ПП № 127 от 08.02.2018 г., устанавливающего правила категорирования КИИ.

При организации этой работы, согласно нормативам, необходимо соблюдать следующие сроки:

5 рабочих дней, чтобы уведомить ФСТЭК об утверждении списка критической информационной инфраструктуры;
десятидневный срок после оформления акта – на уведомление контролирующего органа о каждом из объектов;
аналогичные периоды по 10 дней – время на проверку информации ФСТЭК и последующее устранение выявленных недостатков на предприятии;
в течение года – нужно завершить процедуру.

Пример акта категорирования КИИ по своему содержанию, в качестве образца, может опираться на следующую структуру информационных блоков в документе:

утверждение руководителем предприятия с указанием должности, ФИО, текущей даты (в правом верхнем углу);
наименование документа (акт), название КИИ;
перечисление членов комиссии, реквизитов приказа о создании этой рабочей группы;
ссылки на нормативные документы, регламентирующие проведение категорирования;
данные по объекту;
сведения по угрозам для информационной безопасности;
реализованные мероприятия по предупреждению нежелательных событий;
масштабы негативных последствий при худших сценариях развития ситуации;
присвоенную категорию;
состав дополнительных мер защиты.

Объемные позиции выносят в приложения, номера которых отражают в тексте. Акт по каждому объекту КИИ следует хранить в течение всего срока эксплуатации или до следующего пересмотра категории. Изменение утвержденного документа возможно при следующих обстоятельствах:

на основании распоряжения уполномоченного государственного органа;
при изменении характеристик КИИ, когда утрачивается его критическое значение;
в случае ликвидации компании или утрате субъектом важной роли в плане безопасности информации.

Каждые пять лет следует проводить повторную проверку для обновления и актуализации сделанных ранее выводов по критической информационной инфраструктуре.

Сайт использует файлы cookies. Продолжая использование сайта, вы даете согласие на обработку файлов cookies и соглашаетесь с политикой в отношении обработки и защиты персональных данных. Вы можете отключить использование файлов cookies путем изменения настроек вашего браузера, при этом работоспособность сайта и доступность его функционала в полном объеме могут быть ограничены.