Категорирование объектов КИИ: отнесение к категориям значимости
Категорирование объектов критической информационной инфраструктуры (КИИ) — это процедура, в ходе которой организация определяет, какие из её информационных систем являются объектами КИИ, и присваивает значимым из них одну из категорий значимости. Процедура установлена 187-ФЗ «О безопасности критической информационной инфраструктуры» и подзаконными актами. От присвоенной категории дальше зависит набор требований к защите.
Конкретные критерии, показатели значимости и сроки этапов стоит сверять с актуальной редакцией нормативных актов — они уточняются. Мы — IT-аутсорсер: помогаем технически провести инвентаризацию и обследование систем; правовую квалификацию субъекта и обязанностей оставляем юристу.
Кто такой субъект КИИ
Субъект КИИ — это организация, которой принадлежат информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления, работающие в одной из сфер, перечисленных в 187-ФЗ. К таким сферам относятся, например, здравоохранение, наука, транспорт, связь, энергетика, банковская и финансовая сфера, ТЭК, атомная промышленность и ряд других. Точный перечень сфер стоит сверять с актуальной редакцией закона.
Если организация работает в одной из этих сфер и эксплуатирует подходящие системы — она, как правило, является субъектом КИИ и обязана провести категорирование своих объектов.
Категории значимости
По итогам категорирования объект относится к одной из трёх категорий значимости либо признаётся незначимым.
| Категория | Смысл |
|---|---|
| 1 (первая) | Наивысшая значимость — максимальные последствия при нарушении работы |
| 2 (вторая) | Средняя значимость |
| 3 (третья) | Наименьшая из значимых |
| Без категории | Объект КИИ, не отнесённый к значимым |
Категория определяется по показателям значимости — социальным, политическим, экономическим, экологическим и связанным с обороной и безопасностью. Оценивается, какие последствия наступят, если объект выйдет из строя или будет атакован. Чем выше категория, тем строже требования к защите.
Как проходит процедура
Упрощённо порядок выглядит так:
- Создаётся комиссия по категорированию внутри организации
- Формируется перечень объектов, которые потенциально являются объектами КИИ
- По каждому объекту анализируются процессы, оцениваются возможные последствия нарушения работы
- Применяются показатели значимости, рассчитывается категория (или объект признаётся незначимым)
- Сведения о результатах направляются во ФСТЭК России в установленном порядке
- ФСТЭК проверяет корректность и вносит объект в реестр значимых объектов КИИ
Сроки каждого этапа и форму направляемых сведений нужно сверять с актуальной редакцией нормативных документов.
Что делать после присвоения категории
Для значимых объектов вступают в силу требования по защите, заданные приказом ФСТЭК — для значимых объектов КИИ это приказ №239 (в составе пакета приказов ФСТЭК №17, №21, №239). Набор мер привязан к категории: для первой категории требований больше, для третьей — меньше.
Помимо самих мер защиты, для значимых объектов выстраивается взаимодействие с ГосСОПКА — государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак: подключение, передача сведений об инцидентах, реагирование.
Понять, в каком состоянии защита сейчас и какие меры уже закрыты, помогает аудит информационной безопасности. О том, что именно смотрят на таком аудите, мы писали в статье «Аудит информационной безопасности: что проверяют».
Наша роль
«Кибер Авангард» помогает на технической части: проводим инвентаризацию систем, помогаем собрать данные для оценки последствий, обследуем инфраструктуру, после присвоения категории внедряем и настраиваем средства защиты и мониторинг. Юридическую квалификацию субъекта КИИ и обязанностей формирует ваш юрист — работаем в связке.
Связанные термины
- 187-ФЗ — безопасность критической информационной инфраструктуры — закон, устанавливающий категорирование
- ГосСОПКА — система обнаружения и предупреждения компьютерных атак
- Приказы ФСТЭК (№17, №21, №239) — требования к защите по итогам категорирования
- Аудит информационной безопасности — оценка текущего уровня защиты
Нужно провести инвентаризацию и подготовиться к категорированию?
Поможем технически: обследуем системы, соберём данные для оценки, после присвоения категории внедрим меры защиты. Откройте калькулятор или запросите КП.
Открыть калькулятор Получить КП