Категорирование КИИ

Мы предоставляем услуги по категорированию КИИ, и рассмотрим самые важные для наших клиентов вопросы, обсудим что же такое объект, субъект, приведём примеры актов, рассмотрим этапы проведения, но начнём с терминологии.

Критическая информационная инфраструктура включает в себя информационные системы, отдельные единицы автоматизированного производства, системы связи и другие критически важные системы.

Классификация КИИ - это процесс проверки соответствия объекта критической информационной инфраструктуры критериям существенности и показателям значимости, присвоения объекту одной из категорий существенности и подтверждения знания контролирующим органом результатов, присвоенных объекту критической информационной инфраструктуры.

Для определения значимости Вашего объекта КИИ и присвоения ему категории, просто оставьте заявку, наши менеджеры свяжутся с Вами в ближайшее время.

Пример категорирования объекта КИИ

Рассмотрим пример категорирования в области здравоохранения эта сфера входит в перечень субъектов критической инфраструктуры.

Этапы выявления объекта:

1. Необходимо выявить информационные системы и ресурсы в сфере здравоохранения;
2. При выявлении инфраструктуры уточняем у Организации здравоохранения взаимодействия между сторонними ИСиР;
3. В случае наличия инфраструктуры Организации, которая используется в здравоохранении для информационного обмена сторонними ИСиР, делается запрос владельцам данных систем об их отнесении к критическим;
4. Организация далее рассматривает свою инфраструктуру (или ее часть, непосредственно задействованную в обеспечении взаимодействия систем) в качестве объекта критической информационной инфраструктуры;
5. Выносится заключение Рабочей группы о наличии оснований для отнесения ИСиР здравоохранения к критической информационной инфраструктуры и рекомендаций по включению их в Перечень объектов с последующим установлением одной из категорий значимости.

Результаты расчета значений показателей критериев значимости объектов категорирования организации сферы здравоохранения для каждой ИС, ИТКС, АСУ фиксируются в Протоколе расчетов значений критериев значимости.

Более подробное описание процедуры категорирования КИИ в здравоохранении смотрите в нашей документации.

Сроки категорирования объектов КИИ

Отчёт времени категорирования начинаются с утверждения субъектом критических информационных инфраструктур и перечня объектов, с этого момента срок не должен превышать оного календарного года.

Акт категорирования КИИ

Представляем типовой акт категорирования критической информационной инфраструктуры, который заполняется и подписывается председателем и членами комиссии. В акт входят следующие сведения:

• Об критическом объекте;
• О программных и программно-аппаратных средствах;
• О взаимосвязи инфраструктуры и сетей электросвязи;
• О угрозах безопасности информации и категориях нарушителей;
• О возможных последствиях в случае возникновения компьютерных инцидентов;
• О реализованных организационных и технических мер, применяемых для обеспечения безопасности КИИ;
• Перечень показателей критериев значимости и их значения.

Участие ФСТЭК России в категорировании объектов КИИ

В соответствии со ст. 7 Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и в соответствии с Положением, утвержденным постановлением Правительства РФ от 8 февраля 2018 г. № 127 "О безопасности критической информационной инфраструктуры Российской Федерации", субъект КИИ проводит классификацию инфраструктуры Российской Федерации и в процессе готовит перечень критических объектов, подлежащих классификации, и направляет его во ФСТЭК России.Для формирования единого перечня инфраструктур, подлежащих классификации, рекомендуется представлять во ФСТЭК России перечень, утвержденный ответственным (или уполномоченным) лицом субъекта.