Проведение категорирования объектов КИИ

Необходимость соответствия 187-ФЗ

В середине 2017 года был принят федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации», который предписывает всем компаниям из двенадцати ключевых отраслей (в законе они фигурируют как сферы деятельности) выделить объекты критической информационной инфраструктуры, нарушение деятельности которых может привести к различным видам ущерба: экономическому, социальному, экологическому, политическому и безопасности государства. Такими объектами в компании могут быть информационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы управления.

Закон обязует компании провести процедуру категорирования принадлежащих им объектов КИИ. Категорирование – это первый этап выполнения требований, который должны пройти все организации из ключевых сфер деятельности. Порядок проведения данной процедуры определен на уровне Постановления Правительства Российской Федерации от 8 февраля 2018 г. № 127-ПП «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». В соответствии с этим документом компании, владеющие на любом законном основании объектами КИИ, должны создать комиссию по категорированию, которая в ходе своей работы выявляет критические процессы, нарушение которых может привести к ущербу, а также объекты КИИ, обеспечивающие их выполнение. В установленные сроки проводит определение категории значимости объектов КИИ и направляет данные по ним в ФСТЭК России, в том числе сведения по основным угрозам безопасности информации.

По итогам категорирования, в соответствии с определенным уровнем значимости объекта КИИ и в зависимости от ландшафта угроз, выбираются определенные меры защиты и требования, позволяющие на следующих этапах проектировать или модернизировать существующую систему обеспечения информационной безопасности объекта КИИ с целью снижения возможных рисков от возникновения компьютерных инцидентов.

Постановление предписывает проводить пересмотр установленной категории значимости объектов КИИ не реже чем один раз в пять лет.

Предлагаемые услуги по категорированию объектов КИИ

С начала действия Закона специалистами АО «ДиалогНаука» уже были успешно реализованы работы по категорированию объектов критической информационной инфраструктуры для ряда заказчиков из различных отраслей – кредитные и некредитные финансовые организации, предприятия сфер транспорта, оборонно-промышленного комплекса, энергетики и т. д.

С целью выполнения требований Закона и последующей организации си-стемы обеспечения информационной безопасности объектов КИИ предлагаем комплекс услуг, который включает в себя следующие работы:

а) разработка проекта методики категорирования для конкретной компании, включающей (опционально):

  1) алгоритм проведения процедуры категорирования;

  2) описание процессов:

  • создания комиссии по категорированию;
  • определения перечня критических процессов;
  • формирования перечня объектов КИИ, подлежащих категорированию;
  • категорирования объектов КИИ;
  • оформления и передачи результатов категорирования в ФСТЭК России;

б) обследование объектов КИИ компании, заключающееся в сборе исходных данных, необходимых для проведения работ по категорированию;

в) уточнение критических процессов компании, нарушение и/или прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям или негативным по-следствиям для обеспечения обороны страны, безопасности государства и правопорядка;

г) выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и/или осуществляют управление, контроль или мониторинг таких процессов;

д) разработка отчета об обследовании, включающего (опционально):

  • сведения о субъекте КИИ;
  • сведения о технологических (бизнес-) процессах или осуществлении основных видов деятельности субъекта КИИ;
  • описание критических процессов;
  • предложение по выделению объектов КИИ;
  • перечень и описание объектов КИИ;
  • наличие взаимодействия с другими объектами КИИ;
  • реализованные меры по обеспечению безопасности объектов КИИ;
  • возможные угрозы безопасности информации в отношении объекта КИИ, а также данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объекте КИИ;
  • возможные последствия от компьютерных инцидентов на объектах КИИ;
  • результаты предварительного категорирования объектов КИИ (в том числе алгоритмы расчета показателей значимости);

е) категорирование объектов КИИ в соответствии с Правилами категорирования, утвержденными Постановлением Правительства Российской Федерации от 08.02.2018 № 127, на основании которого осуществляется оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ Заказчика. Оцениваются значения по таким показателям значимости, как социальная, политическая, экономическая, экологическая, значимость для обеспечения обороны страны, безопасности государства и правопорядка. По результатам определяется необходимость присвоения каждому из объектов КИИ одной из категорий значимости либо отсутствие такой необходимости;

ж) разработка модели угроз безопасности информации, выявление источников угроз и возможных сценариев действий нарушителей в отношении объектов КИИ. Оценка возможных последствий от компьютерных инцидентов на объектах КИИ осуществляется в соответствии с рекомендованными ФСТЭК России методиками;

з) подготовка проектов документов, необходимых для организации и выполнения работ по категорированию объектов КИИ в компании, в том числе необходимых для направления в ФСТЭК России;

и) формирование требований к системе защиты информации значимых объектов КИИ с учетом категории значимости, ландшафта угроз, а также требований и адаптации мер защиты, приведенных в приказах ФСТЭК России № 235 и № 239.

Сводный перечень предлагаемых к разработке отчетных документов этапа категорирования приведен в таблице ниже.

Наименование услуги

Разрабатываемые документы

Категорирование объектов критической информационной инфраструктуры в соответствии с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

1) Методика категорирования объектов критической информационной инфраструктуры (опционально);

2) проект приказа «Об организации работ по обеспечению безопасности объектов критической информационной инфраструктуры»;

3) отчет об обследовании (опционально);

4) проект Заключения по результатам выявления критических процессов и объектов критической информационной инфраструктуры;

5) перечень объектов критической информационной инфраструктуры, подлежащих категорированию;

6) модель угроз безопасности информации объектов критической информационной инфраструктуры;

7) проект акта установления категории значимости;

8) перечень данных по объектам критической информационной инфраструктуры для направления в ФСТЭК России (236‑форма ФСТЭК);

9) техническое задание на проектирование (модернизацию) системы обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры
;