Категорирование объектов КИИ (экспертиза проведенных работ)

Согласно внутреннему подходу RTM Group, работы по категорированию объектов КИИ включают в себя 8 этапов, а именно:

Описание этапов работ:

Этап 1. Создание комиссии по категорированию объектов КИИ
На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

  • генерального директора или уполномоченное им лицо;
  • специалистов производства;
  • специалистов промышленной безопасности;
  • специалистов отдела АСУ ТП;
  • специалистов отдела информационных технологий;
  • ответственных за обеспечения безопасности в АСУ ТП;
  • работников подразделения по защите государственной тайны;
  • специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.
Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

  • Протокол заседания комиссии;
  • Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.

Этап 3. Согласование перечня объектов КИИ
На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).
Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.

Этап 4. Отправка перечня объектов во ФСТЭК
На данном этапе готовится уведомление во ФСТЭК.
Основание проведения работ: ПП РФ №127, п. 15.

Этап 5. Сбор исходных данных для категорирования объектов КИИ
На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

Этап 6. Анализ угроз безопасности
В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

Анализ угроз включает:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

Этап 7. Категорирование объектов КИИ
Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
Результатом работ по данному этапу является: Акты категорирования объектов КИИ.
Основание проведения работ: ПП РФ №127, п.16.

Этап 8. Отправка сведений о категорировании во ФСТЭК
Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

  • Формирование требований к обеспечению безопасности значимого объекта;
  • Уточнение модели угроз безопасности информации;
  • Разработка рекомендаций по нейтрализации отдельных угроз;
  • Проектирование СОИБ АСУ ТП;
  • Разработка рабочей (эксплуатационной) документации;
  • Установка и настройка СЗИ;
  • Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
  • Предварительные испытания СОИБ АСУ ТП;
  • Опытная эксплуатация СОИБ АСУ ТП;
  • Анализ уязвимостей и принятие мер по их устранению;
  • Приемочные испытания СОИБ АСУ ТП;
  • Пересмотр установленной категории значимости АСУ ТП.