Категорированием КИИ называют определение для соответствующего объекта критической информационной инфраструктуры соответствия критериям значимости, с учетом показателей их значений, для присвоения данному объекту соответствующей категории значимости, либо проверку справедливости ранее проведенной аналогичной процедуры.
Технологическая независимость и информационная безопасность России невозможна без системного контроля средств связи и распространения информации – автоматизированных систем управления, телекоммуникационных сетей, других коммуникаций. Руководству организации важно понимать, подпадает ли субъект хозяйствования под требования российского законодательства по КИИ, включая необходимость категорирования объектов критической информационной инфраструктуры.
Данное мероприятие необходимо проводить для следующих объектов:
Категорирование требуется на предприятиях или в организациях следующих отраслей промышленности и видов деятельности:
Необходимость оценки объектов критической информационной инфраструктуры применима в отношении различных категорий субъектов – частных компаний, индивидуальных предпринимателей, государственных учреждений или контролирующих органов, вне зависимости от формы собственности.
Категорирование критически важных объектов информационной инфраструктуры необходимо проводить при соблюдении следующих условий:
Если любое из перечисленных условий не соблюдено, выполнять эту процедуру не требуется. Корректное проведение категорирования КИИ предполагает наличие у исполнителей узкоспециализированной подготовки, учитывая сложность точной трактовки формулировок, изложенных в действующих нормативных актах.
В соответствии с рекомендациями ФСТЭК (Федеральной службы технического и экспортного контроля в РФ), при определении целесообразности определения категории руководствуются следующим:
Важно убедиться, что субъект располагает критически важными объектами информационной инфраструктуры. Выделение проводят поэтапно. Содержание отдельных этапов оценки КИИ с пояснениями представлено в таблице:
№ п/п |
Наименование этапа |
Содержание |
---|---|---|
1 |
Инвентаризация ресурсов |
Чтобы собрать исходные данные для категорирования КИИ, инвентаризуют такие ресурсы:
|
2 |
Определение целей обработки данных |
Изучают, для чего нужно обрабатывать информацию |
3 |
Идентификация процессов |
Идентифицируют процессы управленческого, технологического, производственного, финансово-экономического или иного характера при работе предприятия |
4 |
Выявление критической информационной инфраструктуры |
Выявляют объекты информационной инфраструктуры, задействованные в идентифицированных процессах |
5 |
Определение критических процессов |
Определяют значимые процессы, сбои или отклонения в которых грозят нежелательными социальными, политическими, экономическими, экологическими последствиями, снижением уровня обороноспособности или безопасности государства, нарушениями общественного порядка |
При выявлении потребности в категорировании объектов критической информационной инфраструктуры важно учитывать следующие особенности:
Важно собрать корректные и полные сведения об объектах исследований. Для этого необходимо привлечь специалистов, чтобы провести экспертизу для сбора и перечисления в отчете следующей информации:
Окончательный вывод о потребности в категорировании можно сделать по итогам подробного изучения условий работы предприятия, при тщательном и взвешенном анализе различных факторов.
При категорировании объектов КИИ выделяют следующие критерии значимости:
По каждой из перечисленных позиций оценивают ряд условий, согласно которым присваивают категорию объекту КИИ – с третьей (низшей) по первую (высшую). Важно корректно определить такие показатели на случай отказа или повреждения объекта КИИ:
Ввиду многочисленных сложностей для корректности выводов, важно поручить эти мероприятия исполнителям, знающим терминологию, методы, владеющим достаточными техническими и интеллектуальными средствами для решения поставленных задач.
И даже объекты КИИ без категории значимости необходимо обследовать, чтобы объективно подтвердить отсутствие рисков, уведомив о результатах контролирующие государственные органы.
Порядок категорирования объектов КИИ следующий:
Результаты идентификации оформляют актом категорирования объекта КИИ, утверждаемом председателем комиссии.
Дополнительно можно организовать независимую экспертизу, чтобы подтвердить корректность сделанных комиссией выводов.
ФСТЭК сообщает предприятию о включении объектов КИИ в общегосударственный реестр. Получив это уведомление, необходимо принять следующие меры:
В отношении выявленной критической инфраструктуры применяются повышенные меры безопасности. Компаниям необходимо подключаться к системе ГосСОПКА, разработанной НКЦКИ для предотвращения хакерских атак, либо разрабатывать собственные средства защиты информации, назначать ответственных, выполнять другие мероприятия, направленные на исключение нежелательных событий.
Учитывая сложность оценки критериев значимости КИИ, ответственность и важность этой процедуры, стоит привлечь специалистов, обладающих необходимыми знаниями и опытом проведения данных работ. Центр информационной безопасности УЦ ПРОФИ оказывает услуги категорирования объектов критической информационной инфраструктуры с полным соблюдением действующих законодательных норм.
Сотрудничество с нашей компанией обеспечит точность оценки, корректность оформления документов по критической информационной инфраструктуре и отсутствие претензий к субъекту со стороны контролирующих государственных органов. Это исключит назначение штрафов, но главное, защитит важные данные вашей организации от злоумышленников.
Изучить особенности категорирования критической информационной инфраструктуры можно на примере идентификации в субъекте сферы здравоохранения. При проведении данных работ в поликлинике, необходимо выполнить следующие действия:
Форма акта категорирования КИИ должна соответствовать утвержденному ФСТЭК образцу.
Категорирование объектов КИИ проводится, исходя из регламента, установленного такими нормативными документами:
При организации этой работы, согласно нормативам, необходимо соблюдать следующие сроки:
Пример акта категорирования КИИ по своему содержанию, в качестве образца, может опираться на следующую структуру информационных блоков в документе:
Объемные позиции выносят в приложения, номера которых отражают в тексте. Акт по каждому объекту КИИ следует хранить в течение всего срока эксплуатации или до следующего пересмотра категории. Изменение утвержденного документа возможно при следующих обстоятельствах:
Каждые пять лет следует проводить повторную проверку для обновления и актуализации сделанных ранее выводов по критической информационной инфраструктуре.
Сайт использует файлы cookies. Продолжая использование сайта, вы даете согласие на обработку файлов cookies и соглашаетесь с политикой в отношении обработки и защиты персональных данных. Вы можете отключить использование файлов cookies путем изменения настроек вашего браузера, при этом работоспособность сайта и доступность его функционала в полном объеме могут быть ограничены.