Категорирование объектов критической информационной инфраструктуры фото
Проголосовано: 0
Прочитали: 10

Категорирование объектов критической информационной инфраструктуры

Категорирование объектов КИИ: определение категории, формирование комиссии, подготовка документации и оформление результатов в соответствии с требованиями

Порядок категорирования объектов критической информационной инфраструктуры применяется для определения степени важности цифровых платформ, сетевых контуров, вычислительных комплексов, влияющих на устойчивость предприятий, государственных структур, стратегических отраслей экономики. Процедура необходима для выбора защитных мер, предотвращения кибератак, утечки данных, минимизации последствий технологических сбоев.

Категорирование объектов КИИ затрагивает элементы, отказ которых способен нарушить стабильную деятельность организации либо производственного комплекса. По итогам исследования определяется уровень критичности, отражающий масштаб потенциального ущерба.

К объектам КИИ относятся:

  • информационные системы;
  • информационно-телекоммуникационные сети;
  • автоматизированные системы управления;
  • вычислительные платформы;
  • средства диспетчеризации;
  • программно-технические комплексы обработки данных.

Требования законодательства распространяются на следующие направления:

  • медицина;
  • банковская сфера;
  • транспорт;
  • энергетика;
  • металлургия;
  • связь;
  • оборонная промышленность;
  • химическое производство;
  • научная деятельность;
  • добыча полезных ископаемых.

В пределах одного предприятия часто используется несколько цифровых решений одновременно. Для каждого компонента степень критичности определяется отдельно. Такой подход связан с различием функций, архитектуры, масштаба возможных последствий.

Особое внимание уделяется платформам непрерывного производственного цикла. Даже кратковременный отказ способен привести к серьезным экономическим потерям либо создать угрозу безопасности государства.

Нормативная база

Основные требования закреплены Федеральным законом №187-ФЗ. Нормативный акт устанавливает обязанности субъектов КИИ, правила защиты цифровой среды, порядок проведения анализа.

Дополнительно применяется Постановление Правительства Российской Федерации №127. Документ определяет:

  • критерий значимости;
  • показатель оценки;
  • правила исследования;
  • порядок присвоения уровня;
  • перечень обязательных сведений;
  • требования к оформлению материалов.

После установления степени критичности учитываются положения Приказа ФСТЭК России №239. Документ регулирует применение технических, организационных мер безопасности.

ФСТЭК России выполняет функции регулятора. Ведомство анализирует документацию, проводит контрольные мероприятия, проверяет соответствие требованиям законодательства.

Категорированию подлежать могут цифровые решения, используемые на основании собственности, аренды либо другого законного права. Организационная форма предприятия значения не имеет.

Какие решения относятся к КИИ

Проверка распространяется на несколько видов цифровых платформ. Каждое направление имеет собственное назначение, особенности эксплуатации, степень критичности.

Информационная система используется для накопления, обработки, передачи цифровых данных внутри организации. Подобные решения применяются в медицине, банковской сфере, логистике, промышленности.

Информационно-телекоммуникационная сеть обеспечивает обмен сведениями между подразделениями, филиалами, диспетчерскими центрами, производственными площадками.

Автоматизированная система управления предназначена для контроля оборудования, технологических линий, инженерных процессов. АСУ применяется на электростанциях, заводах, транспортных узлах, объектах водоснабжения.

Во время рассмотрения учитываются:

  • назначение платформы;
  • влияние на производственный цикл;
  • вероятность отказа;
  • масштаб инцидента;
  • последствия сбоя;
  • значение для деятельности предприятия.

Повышенные требования применяются к комплексам, связанным с опасным производством. Для таких участков используется высокий уровень контроля.

Подготовительный этап

Перед началом работ создается комиссия. Состав группы утверждается руководителем субъекта КИИ.

В рабочую группу обычно входят:

  • специалисты по безопасности информации;
  • сотрудники технических подразделений;
  • представители ИТ-службы;
  • работники производственных отделов;
  • ответственные за эксплуатацию оборудования;
  • эксперты по защите данных.

На следующем этапе начинается сбор материалов. Комиссия получает сведения о функционировании цифровой среды, изучает архитектуру сетей, рассматривает технологические процессы.

Отдельно формируется внутренний перечень платформ. В список обычно входят:

  • серверы;
  • каналы связи;
  • базы данных;
  • программные решения;
  • средства обработки информации;
  • технологические модули управления.

Дополнительно изучаются схемы взаимодействия оборудования, структура передачи данных, точки подключения внешних сетей. Такой подход помогает определить наиболее уязвимые сегменты.

При распределенной архитектуре исследование проводится отдельно для каждого участка. Подобный метод обеспечивает более точное установление уровня критичности.

Выявление критически важных процессов

После подготовки материалов рабочая группа переходит к следующему этапу. Основная задача — определить цифровые узлы, отказ которых способен нарушить деятельность предприятия, государственного учреждения либо производственного комплекса.

Во время рассмотрения изучаются:

  • производственные операции;
  • финансовые процессы;
  • системы диспетчерского контроля;
  • каналы обмена данными;
  • технологические цепочки;
  • средства удаленного управления.

Далее исключаются второстепенные элементы. В перечень попадают только критически важные компоненты, влияющие на устойчивость работы организации.

Во внимание принимаются возможные последствия:

  • остановка производства;
  • нарушение транспортного сообщения;
  • сбой оказания медицинской помощи;
  • потеря доступа к данным;
  • нарушение связи;
  • аварийная ситуация.

Отдельно учитываются срок восстановления, количество затронутых пользователей, вероятность инцидента, объем потенциального ущерба.

Если цифровая платформа используется сразу в нескольких процессах, исследование выполняется по каждому направлению эксплуатации. Порядок категорирования объектов критической информационной инфраструктуры позволяет избежать ошибок при определении уровня критичности.

Критерии для присвоения категории

Во время исследования применяются показатели, утвержденные Постановлением Правительства Российской Федерации №127.

Учитываются следующие направления:

  1. Социальный показатель отражает влияние сбоя на жизнедеятельность населения. Например, нарушение работы медицинской платформы способно затронуть оказание помощи пациентам.
  2. Политический критерий используется при анализе последствий для органов власти, государственных структур, центров управления.
  3. Экономическое значение связано с финансовыми потерями, остановкой производства, нарушением поставок продукции.
  4. Экологический фактор учитывает риск загрязнения окружающей среды, возникновения аварии, повреждения природных объектов.
  5. Оборонный критерий связан с безопасностью государства, обеспечением правопорядка, стабильностью стратегических отраслей.

После рассмотрения рассчитывается итоговый показатель. Далее выполняется присвоение уровня критичности.

Для объектов КИИ предусмотрено три категории:

  • I категория — наиболее высокий уровень;
  • II категория;
  • III категория.

Если цифровой комплекс не соответствует установленным показателям, категория не присваивается. Такой результат также фиксируется документально.

Чем выше степень важности, тем строже требования к защите информации. Дополнительно применяются меры безопасности, предусмотренные Приказом ФСТЭК России №239.

Подготовка документации

По итогам исследования подготавливается комплект документов. Основным материалом считается акт категорирования. В акте отражаются:

  • сведения о субъекте КИИ;
  • описание цифровой платформы;
  • используемый критерий;
  • показатель значимости;
  • результат рассмотрения;
  • установленный уровень;
  • данные о членах комиссии.

Дополнительно оформляются:

  • протокол заседания;
  • внутренний перечень систем;
  • паспорт объекта КИИ;
  • план защитных мер;
  • материалы исследования угроз;
  • сведения о последствиях инцидента.

После оформления комплект документов направляется в ФСТЭК России. Регулятор проверяет:

  • соответствие законодательству;
  • корректность расчетов;
  • полноту сведений;
  • правильность применения критериев;
  • обоснование присвоенного уровня.

Дополнительно ведомство ведет реестр субъектов КИИ, разрабатывает рекомендации по защите цифровой среды.

Ошибки в документации способны привести к дополнительному контролю либо требованию о повторном исследовании.

Срок повторного категорирования

Срок действия результатов ограничен требованиями законодательства. Повторное исследование проводится минимум один раз в пять лет.

Внеплановая процедура требуется при следующих изменениях:

  • модернизация оборудования;
  • изменение архитектуры сети;
  • внедрение нового программного обеспечения;
  • расширение цифровой среды;
  • изменение технологического процесса;
  • подключение новых каналов связи.

Основанием для пересмотра также может стать изменение уровня угроз безопасности информации.

Если один субъект КИИ использует цифровую платформу для управления оборудованием другого предприятия, категорирование проводится на основании исходных данных, предоставленных владельцем оборудования.

При существенных изменениях организация обязана актуализировать сведения, после чего выполняется повторная проверка.

Ответственность за нарушение требований

Нарушение требований законодательства способно повлечь административную ответственность. Основные меры предусмотрены статьей 13.12.1 Кодекса Российской Федерации об административных правонарушениях.

Контроль затрагивает:

  • корректность категорирования;
  • наличие обязательной документации;
  • соответствие защитных мер требованиям законодательства;
  • соблюдение сроков;
  • достоверность предоставленных данных.

При выявлении нарушений применяются:

  • административные штрафы;
  • предписания регулятора;
  • внеплановые проверки;
  • усиленный контроль;
  • ограничение эксплуатации отдельных платформ.

Повышенное внимание уделяется решениям с высокой степенью критичности. Нарушение требований в подобных случаях способно затронуть безопасность государства, устойчивость экономики, работу стратегических предприятий.

Дополнительные мероприятия по защите информации

После завершения категорирования часто выполняются дополнительные работы, направленные на защиту цифровой среды.

В перечень мероприятий входят:

  • анализ угроз безопасности информации;
  • определение категории нарушителей;
  • разработка внутренних регламентов;
  • подготовка положения о защите данных;
  • внедрение средств защиты информации;
  • настройка контроля доступа;
  • резервное копирование;
  • мониторинг событий безопасности.

Дополнительно проводится:

  • сертификация средств защиты информации;
  • сертификация ФСТЭК;
  • лицензирование деятельности по технической защите;
  • внедрение стандартов Международной организации по стандартизации — ИСО;
  • разработка эксплуатационной документации.

Для крупных предприятий также подготавливаются схемы реагирования на инциденты, инструкции для сотрудников, порядок взаимодействия подразделений.


(0) Нравится!
Прочитали: 10
Преимущества компании
Не пытаемся продать лишнее. Оформляем только те документы, которые запрашивает Роспотребнадзор
Все документы разрабатываются на бланках гос.образца по требованиям Таможенного союза и РФ
Документы регистрируются в реестре ФСА
Забота о клиентах. Осуществляем клиентскую поддержку после оформления документов
Предоставляем персональные консультации с экспертом
Запрос
Вы оставляете запрос на сайте
Консультация
Мы бесплатно консультируем
Выполнение
Вы предоставляете необходимые документы
Результат
Мы помогаем решить Вашу проблему

Комментарии

Оставьте Ваш комментарий

Введите только цифры. Пример: 8 800 000 00 00

Отзывы о нас