Категорирование объектов КИИ

Когда цифровые системы больниц, заводов или транспорта дают сбой, это затрагивает каждого гражданина: отключается свет, вода или связь. Чтобы предотвращать такие ситуации, Федеральный закон №187 обязывает оценивать безопасность важных систем через процедуру категорирования КИИ.

Для чего нужно категорирование

Категорирование критической информационной инфраструктуры — это оценка значимости компьютерных систем и сетей, которые необходимы для бесперебойной работы экономики и безопасности страны. Оценку проводит специальная комиссия внутри организации, а результаты утверждает ФСТЭК России.

Итоговая категория позволяет понять, насколько сильно нужно защищать объект от взломов и утечек данных. Чем выше категория, тем будет больше требований к безопасности системы или сети (по Приказу ФСТЭК №239).

Объекты и субъекты КИИ

При категорировании проводят оценку объектов КИИ (№187-ФЗ). К ним относят:

• Информационные системы — хранят и обрабатывают информацию. Примеры: система записи пациентов в поликлинике или база данных клиентов мобильного оператора.
• Информационно-телекоммуникационные сети (ИТС) — обеспечивают обмен информации в организации. Например: система связи метрополитена, которая соединяет все станции, поезда и диспетчерский центр.
• Автоматизированные системы управления (АСУ) — помогают увеличить производительность и автоматизировать сложные процессы. Пример: АСУ очистки воды в городском водоканале.

Объекты не самостоятельны, они действуют на субъектах — организациях, которые относятся к стратегически важным сферам:

• Здравоохранение и наука,
• Финансы и банки,
• Связь и транспорт,
• Оборонная и ракетно-космическая промышленности,
• Металлургическая, энергетическая, горнодобывающая, химическая промышленности.

В одном субъекте может работать сразу несколько объектов. Например, на заводе одновременно действует и база данных о продукции (ИС), и система управления производством (АСУ). Каждая система будет рассматриваться отдельно и получит свою категорию.

Роль ФСТЭК в категорировании объектов КИИ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) — главный регулятор в сфере определения значимости КИИ. Ведомство:

• Проверяет документацию с результатами категорирования,
• Формирует рекомендации по защите КИИ,
• Проводит в субъектах проверки и ведет их реестр.

Нормативное регулирование КИИ в 2024 году

Нормативные документы, которые регулируют процесс категорирования:

1. ФЗ-№187 от 26.07.2017 г. Этот ФЗ — фундамент всей системы защиты КИИ в России. В нормативном акте определено:
   • Что представляют собой объекты критической информационной инфраструктуры и почему их нужно защищать,
   • Кто должен проводить категорирование,
   • Какие последствия могут считаться существенными для присвоения категории,
   • Базовые принципы обеспечения безопасности значимых объектов.
2. Постановление Правительства №127 от 08.02.2018 г. Устанавливает порядок создания комиссии, правила проведения проверки и сроки подачи документов во ФСТЭК.
3. Приказы ФСТЭК России:
   • Приказ №235 от 21.12.2017 г. Определяет требования к персоналу, ответственному за безопасность объектов КИИ, правила ведения документации и порядок работы с системами.
   • Приказ №236 от 22.12.2017 г. Устанавливает технические требования к защите: допустимое оборудование, способы защиты информационных систем и необходимые средства защиты.
   • Приказ №239 от 25.12.2017 г. Прописывает порядок оформления результатов категорирования, формат подачи сведений во ФСТЭК и перечень необходимых бумаг.

Этапы категорирования объектов КИИ

Проведение категорирования объектов КИИ — процесс, который состоит из трех этапов:

Этап 1 – подготовка объектов КИИ

Формирование комиссии. Руководитель субъекта создает постоянную группу экспертов. В комиссию могут входить IT-специалисты, сотрудники отдела информационной безопасности и руководители отделов. Состав регламентируется пунктом 11 из ПП РФ №127.

Анализ процессов. Комиссия создает перечень всех сетей, систем и АСУ, которые используются в учреждении. Затем собирает информацию о работе каждого объекта: как он используется, с какими системами действует и т. д.

Этап 2 – процесс категорирования

Определение критических процессов. Комиссия оставляет в списке только те объекты КИИ, без которых организация не сможет нормально работать. К примеру, для ТЭЦ критически важна система подачи электроэнергии. А внутренняя программа для учета рабочего времени не требует категорирования.

Анализ показателей значимости. Определяется, насколько серьезными будут последствия при сбоях работы объекта. Оценку проводят по 5 критериям (ПП РФ №127):

• Социальная значимость: как сбой повлияет на жизнедеятельность населения,
• Политическая: как нарушится работа государственных органов,
• Экономическая: какие будут финансовые убытки,
• Экологическая: какой ущерб будет нанесен природе,
• Значимость для обороны страны, безопасности государства и правопорядка.

Установление категории. Всего можно присвоить 3 категории критической информационной инфраструктуры: III, II, I. Самая высокая — первая.

Иногда после оценки по критериям из ПП РФ №127 объект не получает категорию. В таком случае его не относят к критически важному, но результаты оценки всё равно нужно направить во ФСТЭК России.

Этап 3 – заключительный

Оформление результатов. Комиссия готовит акт категорирования. Документ объясняет, почему выбрана та или иная категория.

Подготовка документации. Составляется полный пакет документов с паспортом объекта КИИ и планом защитных мер. В нем указывается:

• Какие конкретные меры нужны для защиты каждого объекта КИИ,
• К какому сроку каждая мера должна быть внедрена,
• Кто из сотрудников отвечает за выполнение каждой меры.

Направление сведений во ФСТЭК. Регулятор проверяет оценку и подтверждает правильность присвоенной категории.

Чем выше категория, тем будет больше сформировано требований к безопасности. Требования для каждой категории прописаны в Приказе ФСТЭК №239. Согласно ему организация должна защищать объект после согласования категории со ФСТЭК.

Сроки категорирования объектов КИИ

Временные рамки регламентируются ПП РФ №127.

1. Базовые сроки подачи сведений.

Чтобы подать все документы во ФСТЭК, выделяют 10 рабочих дней. Отсчет начинается с момента подписания итогового акта категорирования (п.17).

2. Сроки при создании нового объекта КИИ.

В этом случае документацию нужно направить в два этапа (п.18). На первом этапе подаются базовые сведения в течение 10 рабочих дней после утверждения требований к объекту. На втором — информацию о характеристиках и мерах защиты в течение 10 рабочих дней после запуска объекта.

3. Сроки сообщения о нарушениях.

Если найдены нарушения сроков или неверные данные, проверяющие органы должны сообщить об этом. Срок подачи информации — 30 дней (п.19.2).

Соблюдение сроков — обязательное требование закона. Рекомендуем завести специальный календарь, чтобы не пропустить важные даты и подавать все документы вовремя.

Проверки со стороны ФСТЭК

Проверки со стороны ФСТЭК также регламентируются ПП РФ №127.

Плановую проверку проводят каждые 5 лет.

Внеплановую проверку — при существенных изменениях в работе объекта (п.21).

О любых изменениях в работе объекта КИИ нужно сообщить во ФСТЭК. На это даётся 20 рабочих дней (п.19.1).

Стоимость категорирования объектов КИИ

Стоимость категорирования КИИ зависит от нескольких факторов:

Сложность процессов и масштаб инфраструктуры: чем больше систем и сетей нужно проанализировать, тем выше стоимость.

Территориальное распределение: если филиалы организации находятся в разных городах, это повышает сложность и стоимость работ.

Точная стоимость определяется после предварительного аудита инфраструктуры организации.

Категорирование объектов КИИ в 2024 году

Компания «‎Управление информационной безопасности» поможет правильно пройти процедуру категорирования объектов КИИ. У нас есть все необходимое: лицензия ФСТЭК России, 14-летний опыт в сфере информационной безопасности и команда внимательных специалистов.

Возьмем на себя все заботы по категорированию — от первой консультации до финального согласования с ФСТЭК. Чтобы обсудить проект или получить расчет стоимости по услуге категорирования КИИ, звоните 8 800-707-94-97 или пишите на info@uibcom.ru. Ответим на все вопросы и поможем разобраться в процессе.