Что такое объекты КИИ? Пошаговый рабочий алгоритм категорирования. Практические примеры по конкретным отраслям и организациям. Категорирование объектов КИИ.
Содержание
ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
- Социальная
- Политическая
- Экономическая
- Экологическая
- Значимость для обеспечения обороны страны, безопасности государства и правопорядка.
В таблице ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице. Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая – третья, а также объекту КИИ может быть вообще не присвоена категория (т.е. «без категории»).
Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.
Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.
По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2019 г. N 240/25/3752
Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.
КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?
- Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
- Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
- Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
- Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.
КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?
- Сведения о субъекте КИИ;
- Сведения об объекте КИИ;
- Сведения о взаимодействии объекта КИИ и сетей электросвязи;
- Сведения о лице, эксплуатирующем объект КИИ;
- Сведения о ИС, ИТС, АСУ;
- Анализ угроз и категории нарушителей;
- Оценка возможных последствий инцидента;
- Акт категорирования объектов КИИ.
Запрос предложения
×Close Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ
КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМЕсли вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.
Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:
- Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
- Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
- Выявляем из всех процессов именно критические процессы.
- Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
- Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
- Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.
Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).
Объекты категории б2
Государственные или коммерческие объекты, собственниками которых принято решение об установке системы тревожной сигнализации:
- служебные помещения охраны ГСК, автостоянок, помещения консьержей в подъездах жилых домов;
- объекты капитального строительства (строительные площадки);
- объекты, подходящие по своему функциональному назначению и наличию материальных ценностей под категории Б1, администрация которых направила заявку на оборудование объекта только системой тревожной сигнализации.
Вопросы и ответы
Источники
Использованные источники информации.
- https://rtmtech.ru/articles/kategorirovanie-obektov-kii-primery/
- https://studfiles.net/preview/5273922/page:4/