Категорирование объектов КИИ

Согласно внутреннему подходу RTM Group, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов, а также этап итоговой независимой экспертизы по КИИ. Перечень этапов:

1. Этап 1. Создание комиссии по категорированию объектов КИИ
2. Этап 2. Составление перечня объектов КИИ
3. Этап 3. Согласование перечня объектов КИИ
4. Этап 4. Отправка перечня объектов во ФСТЭК
5. Этап 5. Сбор исходных данных для категорирования объектов КИИ
6. Этап 6. Анализ угроз безопасности
7. Этап 7. Категорирование объектов КИИ
8. Этап 8. Отправка сведений о категорировании во ФСТЭК
9. Итоговый этап. Независимая экспертиза работ по КИИ

Заказать работы по КИИ и/или экспертизу проведенных по КИИ работ

Последовательность выполнения этапов:

—

Описание этапов работ:

Этап 1. Создание комиссии по категорированию объектов КИИ

На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

• генерального директора или уполномоченное им лицо;
• специалистов производства;
• специалистов промышленной безопасности;
• специалистов отдела АСУ ТП;
• специалистов отдела информационных технологий;
• ответственных за обеспечения безопасности в АСУ ТП;
• работников подразделения по защите государственной тайны;
• специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Скачать Приказ о создании комиссии (наименование организации, учреждения)

по категорированию объектов КИИ в формате MS Word.

 

Основание проведения работ: ПП РФ №127, п. 11-13.

—

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

• Протокол заседания комиссии;
• Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.

ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.

Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения перечня.

—

Этап 3. Согласование перечня объектов КИИ

На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).

Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.

—

Этап 4. Отправка перечня объектов во ФСТЭК

На данном этапе готовится уведомление во ФСТЭК.

Основание проведения работ: ПП РФ №127, п. 15.

—

Этап 5. Сбор исходных данных для категорирования объектов КИИ

На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

—

Этап 6. Анализ угроз безопасности

В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

Анализ угроз включает:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

—

Этап 7. Категорирование объектов КИИ

Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
Результатом работ по данному этапу является:

• Акты категорирования объектов КИИ.

Основание проведения работ: ПП РФ №127, п.16.
—

Этап 8. Отправка сведений о категорировании во ФСТЭК

Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

• Формирование требований к обеспечению безопасности значимого объекта;
• Уточнение модели угроз безопасности информации;
• Разработка рекомендаций по нейтрализации отдельных угроз;
• Проектирование СОИБ АСУ ТП;
• Разработка рабочей (эксплуатационной) документации;
• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
• Предварительные испытания СОИБ АСУ ТП;
• Опытная эксплуатация СОИБ АСУ ТП;
• Анализ уязвимостей и принятие мер по их устранению;
• Приемочные испытания СОИБ АСУ ТП;
• Пересмотр установленной категории значимости АСУ ТП.

—

Итоговый этап. Независимая экспертиза работ по КИИ

Итоговым этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

Цели и задачи экспертизы:

• Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
• Выявление ошибок при проведении работ, либо установление, что ошибок не было;
• Установление технической реализуемости проекта;
• Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
• Подтверждение функционирования СОИБ АСУ ТП.

В группу экспертиза по КИИ входят:

• Экспертиза проектной документации по защите КИИ;
• Экспертиза качества проведенных работ по защите КИИ;
• Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.

Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:

• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

В зависимости от целей и задач,  а также поставленных вопросов, критерии могут быть иными.

В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.

Для чего необходима экспертиза проведенных работ по КИИ?

Заключение может использоваться:

• На этапе приемки результата выполненных подрядчиком работ;
• В качестве обоснования корректности проведенных подрядчиком работ;
• В качестве подтверждения корректности выполненных работ для регулятора;
• При принятии решения об отправке сведений во ФСТЭК России.

Учитывая высокую социальную и государственную значимость проводимых по защите КИИ работ, независимая экспертиза является обязательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.

—

Цена работ по категорированию КИИ

Наименование	Стоимость*
Категорирование объектов КИИ	от 100 000 рублей
Экспертиза проведенных работ по КИИ (объекты экспертизы уточняются отдельно)	от 50 000 рублей

Заказать работы по КИИ

Для уточнения стоимости и сроков заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.