8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Критическая информационная инфраструктура » Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

Мы предлагаем:

  • Предпроектное обследование с целью сбора данных об объектах КИИ, подлежащих категорированию, совместно с силами Заказчика, что уменьшает стоимость работ;
  • Определение критических процессов и для каждого критического процесса ИС, АСУ ИТКС, обеспечивающие его функционирование;
  • Предоставление шаблонов на всю необходимой документации, в том числе и сопроводительное письмо для отправки во ФСТЭК;
  • Проведение оценки масштаба возможных последствий, в случаях инцидентов;
  • Составление проектов Актов категорирования.

Почему мы:

  • Нашими клиентами являются крупные промышленные предприятия являющиеся субъектами КИИ.
  • У нас есть лицензия ФСТЭК на ТЗКИ.
  • Наши специалисты имеют огромный опыт в категорировании объектов КИИ различных масштабов.

Важно:

Сроков проведения работ по категорированию КИИ нормативными актами не установлено. Однако регулятор практикует применение понятия «разумный срок» и применяет его к тем организациям, которые не провели категорирование.

Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры) - услуги RTM Group
Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры) - от RTM Group
Узнать стоимость?
Перейти

Эксперты по экспресс-категорированию объектов КИИ

Эксперт по экспресс-категорированию объектов КИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по экспресс-категорированию объектов КИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по экспресс-категорированию объектов КИИ Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

В отличие от стандартной услуги «Категорирование объектов КИИ», в рамках экспресс-категорирования критической информационной инфраструктуры часть работ выполняется силами Исполнителя, а часть силами Заказчика.

Как показала практика проведения категорирования объектов КИИ, для многих предприятий принадлежность к субъектам критической информационной инфраструктуры является лишь номинальной. Такими предприятиями являются банки с небольшими оборотами в платежных системах, производственные предприятия не имеющие критичных систем автоматизации, многие медицинские учреждения и так далее. Однако, даже отсутствие значимых объектов КИИ не снимает с предприятий обязанности провести категорирование и направить его результаты отраслевому регулятору и ФСТЭК России.

Экспресс-категорирование объектов критической информационной инфраструктуры оптимально для организаций, имеющих компактный штат специалистов в области ИТ и информационной безопасности, небольшой бюджет, а также не имеющих значимых объектов КИИ.

 

План работ по экспресс-категорированию объектов КИИ (критической информационной инфраструктуры)

План работ и их разделение между Заказчиком и Исполнителем представлены в таблице:

Этап 1. Заполнение анкет с исходными данными Исполнитель направляет анкеты. Заказчик самостоятельно заполняет исходные данные для категорирования. Сотрудники исполнителя оказывают консультационную поддержку в размере до 8 часов

Результат этапа: заполненные анкеты с исходными данными для категорирования объектов критической информационной инфраструктуры
Этап 2. Подготовка комплекта документов для отправки во ФСТЭК России Выполняется исполнителем

Результат этапа: комплект документов для отправки во ФСТЭК России
Этап 3. Подписание документов и отправка их во ФСТЭК Выполняется Заказчиком. Исполнитель дает рекомендации по подписанию и отправке документов во ФСТЭК России

Результат этапа: отправка комплекта документов по категорированию объектов КИИ во ФСТЭК России

    Нужна консультация?
    Задать вопрос

    Ограничения

    • До 10 объектов критической информационной инфраструктуры
    • Исполнитель не оценивает достоверность сведений, указанных Заказчиком в анкетах
    • Все работы проводятся удаленно без выезда на объекты Заказчика
    • Исполнитель обеспечивает заполнение отчетных документов по актуальным форматам
    • В случае выявления объектов КИИ, обладающих одним из уровней критичности, работы по их документированию и защите не входят в рамки основного договора

    Преимущества

    • Исполнитель обеспечивает заполнение отчетных документов по актуальным форматам и требованиям на момент передачи Заказчику
    • Низкая стоимость проведения работ

     

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Проведение работ по категорированию и защите объектов КИИ проводятся экспертами обладающими большим опытом построения комплексных систем обеспечения информационной безопасности по требованиям ФСТЭК России
    • Сроки проведения оценки соответствия от 1 до 3 месяцев (в зависимости от сложности объекта)
    • Мы обладаем лицензиями ФСТЭК России и ФСБ России:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по КИИ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru




    Оглавление:

    Экспресс-категорирование объектов КИИ Ограничения Преимущества Почему RTM Group? Заказать работы по КИИ


    Видео по экспресс-категорированию объектов КИИ

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по экспресс-категорированию объектов КИИ

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Экспресс-категорирование объектов КИИ

    от 90 000 руб.

    Категорирование объектов КИИ

    от 100 000 руб.

    Экспертиза проведенных работ по КИИ

    Объекты экспертизы уточняются отдельно.
    При запросе просим указать на наличие значимых объектов. Работы могут проводиться на месте или удаленно (только при исследовании документов).

    от 90 000 руб.

    Проектирование системы безопасности объекта КИИ

    С учетом изменений, связанных с Указом Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»

    по запросу

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    110+

    Проектов по построению комплексной системы информационной безопасности

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    Наши отзывы по экспресс-категорированию объектов КИИ

    Благодарность от ООО «Синфорес Групп»
    14.08.2019
    В рамках реализации совместно проведенных работ по категорированию объектов критической информационной инфраструктуры компания RTM Group зарекомендовала себя, как надежный партнер и исполнитель. Высокая квалификация и компетентность специалистов позволили решить поставленные задачи качественно и своевременно. ООО «Группа Синфорес», в лице Генерального директора выражает признательность за профессионализм и комплексную проработку оказываемых услуг. Надеемся на дальнейшее плодотворное сотрудничество. С уважением, Чернышев Вячеслав Генеральный директор ООО «Группа Синфорес»
    Благодарность от Страховой компании "АСКОР"
    13.03.2023
    Благодарственное письмо ООО Страховая компания "АСКОР" выражает благодарность Вам и Вашим сотрудникам за качественное оказание консультационных услуг. С полной уверенностью можно сказать, что в ООО "РТМ ТЕХНОЛОГИИ" работают высококвалифицированные сотрудники, основным приоритетом которых является соблюдение интересов клиентов.   Генеральный директор А.А. Ефремов

    Наши кейсы

    Соблюдение правил категорирования для объектов КИИ

    Заказчик остался недоволен замечаниями ФСТЭК касательно статуса объектов КИИ, находящихся в его владении. Эксперты RTM Group рассмотрели ситуацию.

    Услуги для вас

    Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

    Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

    — Для чего необходимы работы по обеспечению безопасности
    — Результат работ
    — Основные этапы выполнения работ
    — Описание этапов работ
    — Начало работ и взаимодействие
    Услуга Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

    Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

    — Подробное описание всех этапов категорирования (с примерами)
    — Образцы документов по КИИ
    — Какие работы необходимо выполнить после внесения в реестр КИИ?
    — Для чего необходима экспертиза проведенных работ по КИИ?

    Продукты и решения для вас

    Anti-DDoS и WAF

    Anti-DDoS и WAF

    Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
    Security Awareness

    Security Awareness

    Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

    Менеджер паролей

    Менеджер паролей

    Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
    Многофакторная аутентификация

    Многофакторная аутентификация

    Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.
    МФУ и печатная техника

    МФУ и печатная техника

    МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    Удаленный доступ и управление конфигурациями устройств

    Удаленный доступ и управление конфигурациями устройств

    UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья Критическая информационная инфраструктура 2025 год

    Критическая информационная инфраструктура 2025 год

    - Что такое критическая информационная инфраструктура?
    - О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?
    - Что такое ГосСОПКА?
    - Что такое НКЦКИ?
    - Какие работы необходимо провести для обеспечения безопасности КИИ?
    - Какие нормативные документы по КИИ есть в настоящий момент?
    Статья Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

    Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

    — Что является «объектом КИИ», а что «субъектом»?
    — Какие объекты КИИ подлежат категорированию?
    — Пошаговый рабочий алгоритм категорирования объектов
    — Какая информация понадобится для подачи во ФСТЭК?
    — Как определиться по срокам?
    — Практические примеры по конкретным отраслям и организациям
    Статья Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

    Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

    15 января 2013 года был опубликован Указ Президента Российской Федерации от № 31 «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», а в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации», который вступил в силу с 1 января 2018 года, что послужило началом актуальной и глобальной работы по регулированию и контролю в направлении обеспечения безопасности объектов КИИ.
    Статья Аттестация ГИС, АИС, помещений и АРМ на соответствие требованиям безопасности информации

    Аттестация ГИС, АИС, помещений и АРМ на соответствие требованиям безопасности информации

    Рассказываем про особенности аттестации ГИС, АИС, АРМ и помещений. В статье также приведены ссылки на все актуальные НПА.
    Статья На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

    На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

    В данной статье рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.
    Статья Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

    Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

    ФСТЭК России предоставила предварительные проекты национальных стандартов, касающихся обеспечения безопасности КИИ.
    Статья Методы и проектирование значимых объектов КИИ

    Методы и проектирование значимых объектов КИИ

    Все субъекты критической информационной инфраструктуры проводят категорирование своих объектов по постановлению правительства №127. Некоторые организации в процессе определения показателей значимости для объектов могут выявить, что для одного из них превышается пороговое значение для 3 или выше категории, отчего он становится значимым.

    FAQ: Часто задаваемые вопросы

    Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

    Добрый день.

    Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

    Здравствуйте, объясните, если организация еще не прошла процедуру категорирования или это новая организация которой нужно пройти эту процедуру до какого числа, года нужно все это сделать? Во всех источниках указывают дату «до 01.09.2019», но если например организация только начала свою деятельность в 2020 году, как быть?

    Добрый день.

    Срок до 01.09.2019 установлен для госорганизаций, являющихся субъектами КИИ, как обязательный. Для прочих субъектов КИИ — как рекомендательный.

    Для госорганизаций, начавших свою деятельность после данной даты, либо коммерческих (частных) организаций, требований по срокам нет.

    Согласно комментариям ФСТЭК России — «в разумные сроки». На практике — до одного года с момента получения статуса субъекта КИИ.

    Доброго дня!
    Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
    Спасибо!

    Добрый день.

    Согласно п.8 ст.2 187-ФЗ:
    субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

    Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

    В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

    Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
    Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
    Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

    ООО оказывает услуги связи (телефония) и Интернет. Будет ли является субъектом КИИ?

    Добрый день.

    Да, все операторы связи являются субъектами КИИ.

    Относится ли школа доп. образования к объектам КИИ?

    Согласно Федеральному закону № 187 объектами КИИ являются:
    — ИС (информационная система)
    — АСУ ТП (автоматизированная система управления технологическим процессом)
    — ИТКС (информационно-телекоммуникационная сеть).
    Т.е. школа дополнительного образования не является объектом КИИ, но может являться субъектом КИИ.
    Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
    — здравоохранение
    — наука
    — транспорт
    — связь
    — энергетика
    — банковская сфера и иных сферах финансового рынка
    — топливно-энергетический комплекс
    — атомная сфера
    — сфера обороны
    — ракетно-космическая
    — горнодобывающая промышленность
    — металлургическая промышленность
    — химическая промышленность.
    Т.е. школа дополнительного образования не будет являться объектом КИИ и не имеет отношения к субъектам КИИ, т.к. осуществляет свою деятельность в сфере образования.

    Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

    Проверка по КИИ может различаться по наличию значимых объектов.

    При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

    При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

    При составлении перечня объекта КИИ, кто является ответственным за ИС?

    Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.

    Что может являться примером модернизации объектов информационной инфраструктуры?

    Примером модернизации объектов информационной инфраструктуры является, например, переход с одной АБС на другую, внедрение в банковскую систему, например, антифрода, или же внедрение СВТ, участвующего в процессе перевода денежных средств.

    Что такое объект информационной инфраструктуры?

    Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которое используется для осуществления переводов денежных средств.

    Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

    Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

    Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

    Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

    1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
    2. Наличие компьютерного (сетевого) порта управления устройством;
    3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
    4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

    Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

    Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

    • здравоохранение;
    • наука;
    • транспорт;
    • связь;
    • энергетика;
    • банковская сфера и иных сферах финансового рынка;
    • топливно-энергетический комплекс;
    • атомная сфера;
    • сфера обороны;
    • ракетно-космическая;
    • горнодобывающая промышленность;
    • металлургическая промышленность;
    • химическая промышленность.

    Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

    Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

      1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
      2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
      3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
      4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
        • Создать систему безопасности для значимых объектов КИИ
        • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
          прав и нарушителя)
        • Осуществить подключение к ГосСОПКа
        • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

    Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

    Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

    «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

    1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
    2) Проверка выполнения требований по защите по пунктам:
    — подтверждение актуальности МУ
    — подтверждение выполнения технических требований
    — подтверждение организационных требований (в том числе планов)
    — проверка обучения
    3) Контроль обработки инцидентов
    4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

    В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.