Когда цифровые системы больниц, заводов или транспорта дают сбой, это затрагивает каждого гражданина: отключается свет, вода или связь. Чтобы предотвращать такие ситуации, Федеральный закон №187 обязывает оценивать безопасность важных систем через процедуру категорирования КИИ.
Для чего нужно категорирование
Категорирование критической информационной инфраструктуры — это оценка значимости компьютерных систем и сетей, которые необходимы для бесперебойной работы экономики и безопасности страны. Оценку проводит специальная комиссия внутри организации, а результаты утверждает ФСТЭК России.
Итоговая категория позволяет понять, насколько сильно нужно защищать объект от взломов и утечек данных. Чем выше категория, тем будет больше требований к безопасности системы или сети (по Приказу ФСТЭК №239).
Объекты и субъекты КИИ
При категорировании проводят оценку объектов КИИ (№187-ФЗ). К ним относят:
- Информационные системы — хранят и обрабатывают информацию. Примеры: система записи пациентов в поликлинике или база данных клиентов мобильного оператора.
- Информационно-телекоммуникационные сети (ИТС) — обеспечивают обмен информации в организации. Например: система связи метрополитена, которая соединяет все станции, поезда и диспетчерский центр.
- Автоматизированные системы управления (АСУ) — помогают увеличить производительность и автоматизировать сложные процессы. Пример: АСУ очистки воды в городском водоканале.
Объекты не самостоятельны, они действуют на субъектах — организациях, которые относятся к стратегически важным сферам:
- Здравоохранение и наука,
- Финансы и банки,
- Связь и транспорт,
- Оборонная и ракетно-космическая промышленности,
- Металлургическая, энергетическая, горнодобывающая, химическая промышленности.
В одном субъекте может работать сразу несколько объектов. Например, на заводе одновременно действует и база данных о продукции (ИС), и система управления производством (АСУ). Каждая система будет рассматриваться отдельно и получит свою категорию.
Роль ФСТЭК в категорировании объектов КИИ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) — главный регулятор в сфере определения значимости КИИ. Ведомство:
- Проверяет документацию с результатами категорирования,
- Формирует рекомендации по защите КИИ,
- Проводит в субъектах проверки и ведет их реестр.
Нормативное регулирование КИИ в 2024 году
Нормативные документы, которые регулируют процесс категорирования:
- ФЗ-№187 от 26.07.2017 г. Этот ФЗ — фундамент всей системы защиты КИИ в России. В нормативном акте определено:
- Что представляют собой объекты критической информационной инфраструктуры и почему их нужно защищать,
- Кто должен проводить категорирование,
- Какие последствия могут считаться существенными для присвоения категории КИИ,
- Базовые принципы обеспечения безопасности значимых объектов.
- Постановление Правительства №127 от 08.02.2018 г. Устанавливает порядок создания комиссии, правила проведения проверки и сроки подачи документов во ФСТЭК.
- Приказы ФСТЭК России:
- Приказ №235 от 21.12.2017 г. Определяет требования к персоналу, ответственному за безопасность объектов КИИ, правила ведения документации и порядок работы с системами.
- Приказ №236 от 22.12.2017 г. Устанавливает технические требования к защите: допустимое оборудование, способы защиты информационных систем и необходимые средства защиты.
- Приказ №239 от 25.12.2017 г. Прописывает порядок оформления результатов категорирования, формат подачи сведений во ФСТЭК и перечень необходимых бумаг.
Этапы категорирования объектов КИИ
Проведение категорирования объектов КИИ — процесс, который состоит из трех этапов:
Этап 1 – подготовка объектов КИИ
Формирование комиссии. Руководитель субъекта создает постоянную группу экспертов. В комиссию могут входить IT-специалисты, сотрудники отдела информационной безопасности и руководители отделов. Состав регламентируется пунктом 11 из ПП РФ №127.
Анализ процессов. Комиссия создает перечень всех сетей, систем и АСУ, которые используются в учреждении. Затем собирает информацию о работе каждого объекта: как он используется, с какими системами действует и т. д.
Этап 2 – процесс категорирования
Определение критических процессов. Комиссия оставляет в списке только те объекты КИИ, без которых организация не сможет нормально работать. К примеру, для ТЭЦ критически важна система подачи электроэнергии. А внутренняя программа для учета рабочего времени не требует категорирования.
Анализ показателей значимости. Определяется, насколько серьезными будут последствия при сбоях работы объекта. Оценку проводят по 5 критериям (ПП РФ №127):
- Социальная значимость: как сбой повлияет на жизнедеятельность населения,
- Политическая: как нарушится работа государственных органов,
- Экономическая: какие будут финансовые убытки,
- Экологическая: какой ущерб будет нанесен природе,
- Значимость для обороны страны, безопасности государства и правопорядка.
Установление категории. Всего можно присвоить 3 категории критической информационной инфраструктуры: III, II, I. Самая высокая — первая.
Иногда после оценки по критериям из ПП РФ №127 объект не получает категорию. В таком случае его не относят к критически важному, но результаты оценки всё равно нужно направить во ФСТЭК России.
Этап 3 – заключительный
Оформление результатов. Комиссия готовит акт категорирования. Документ объясняет, почему выбрана та или иная категория.
Подготовка документации. Составляется полный пакет документов с паспортом объекта КИИ и планом защитных мер. В нем указывается:
- Какие конкретные меры нужны для защиты каждого объекта КИИ,
- К какому сроку каждая мера должна быть внедрена,
- Кто из сотрудников отвечает за выполнение каждой меры.
Направление сведений во ФСТЭК. Регулятор проверяет оценку и подтверждает правильность присвоенной категории.
Чем выше категория, тем будет больше сформировано требований к безопасности. Требования для каждой категории прописаны в Приказе ФСТЭК №239. Согласно ему организация должна защищать объект после согласования категории со ФСТЭК.
Сроки категорирования объектов КИИ
Временные рамки регламентируются ПП РФ №127.
1. Базовые сроки подачи сведений.
Чтобы подать все документы во ФСТЭК, выделяют 10 рабочих дней. Отсчет начинается с момента подписания итогового акта категорирования (п.17).
2. Сроки при создании нового объекта КИИ.
В этом случае документацию нужно направить в два этапа (п.18). На первом этапе подаются базовые сведения в течение 10 рабочих дней после утверждения требований к объекту. На втором — информацию о характеристиках и мерах защиты в течение 10 рабочих дней после запуска объекта.
3. Сроки сообщения о нарушениях.
Если найдены нарушения сроков или неверные данные, проверяющие органы должны сообщить об этом. Срок подачи информации — 30 дней (п.19.2).
Соблюдение сроков — обязательное требование закона. Рекомендуем завести специальный календарь, чтобы не пропустить важные даты и подавать все документы вовремя.
Проверки со стороны ФСТЭК
Проверки со стороны ФСТЭК также регламентируются ПП РФ №127.
Плановую проверку проводят каждые 5 лет.
Внеплановую проверку — при существенных изменениях в работе объекта (п.21).
О любых изменениях в работе объекта критической информационной инфраструктуры нужно сообщить во ФСТЭК. На это даётся 20 рабочих дней (п.19.1).
Стоимость категорирования объектов КИИ
Стоимость категорирования КИИ зависит от нескольких факторов:
Сложность процессов и масштаб инфраструктуры: чем больше систем и сетей нужно проанализировать, тем выше стоимость.
Территориальное распределение: если филиалы организации находятся в разных городах, это повышает сложность и стоимость работ.
Точная стоимость определяется после предварительного аудита инфраструктуры организации.
Категорирование объектов КИИ с 2025 года в РФ
Компания «Управление информационной безопасности» поможет правильно провести процедуру категорирования объектов КИИ. У нас есть все необходимое: лицензия ФСТЭК РФ, 14-летний опыт в сфере информационной безопасности и команда внимательных специалистов.
Возьмем на себя все заботы по категорированию — от первой консультации до финального согласования с ФСТЭК. Чтобы обсудить проект или получить расчет стоимости по услуге категорирования КИИ, звоните 8 800-707-94-97 или пишите на info@uibcom.ru. Ответим на все вопросы и поможем разобраться в процессе.