8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
info@rtmtech.ru Контакты Поиск
RTM Group » Услуги »  Критическая информационная инфраструктура (187-ФЗ) » Категорирование объектов КИИ

Категорирование объектов КИИ

Для чего необходима экспертиза проведенных работ по КИИ?

Заключение может использоваться:

  • На этапе приемки результата выполненных подрядчиком работ;
  • В качестве обоснования корректности проведенных подрядчиком работ;
  • В качестве подтверждения корректности выполненных работ для регулятора;
  • При принятии решения об отправке сведений во ФСТЭК России.

Учитывая высокую социальную и государственную значимость проводимых по защите КИИ работ, независимая экспертиза является обязательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.
Подробнее

Категорирование объектов КИИ

Эксперты по категорированию объектов КИИ

Жилякова Анна Сергеевна

Жилякова Анна Сергеевна

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Описание

Оглавление:

Этапы по категорированию Этап 1. Создание комиссии по категорированию объектов КИИ Этап 2. Составление перечня объектов КИИ Этап 3. Согласование перечня объектов КИИ Этап 4. Отправка перечня объектов во ФСТЭК Этап 5. Сбор исходных данных для категорирования объектов КИИ Этап 6. Анализ угроз безопасности Этап 7. Категорирование объектов КИИ Этап 8. Отправка сведений о категорировании во ФСТЭК10  Итоговый этап. Независимая экспертиза работ по КИИ11  Почему RTM Group?12  Заказать работы по КИИ и/или экспертизу проведенных по КИИ работ

Этапы по категорированию объектов критической информационной инфраструктуры

Согласно внутреннему подходу RTM Group, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов, а также этап итоговой независимой экспертизы по КИИ.

Последовательность выполнения этапов:

План работ по категорированию КИИ

Описание этапов работ:

Этап 1. Создание комиссии по категорированию объектов КИИ

На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

  • генерального директора или уполномоченное им лицо;
  • специалистов производства;
  • специалистов промышленной безопасности;
  • специалистов отдела АСУ ТП;
  • специалистов отдела информационных технологий;
  • ответственных за обеспечения безопасности в АСУ ТП;
  • работников подразделения по защите государственной тайны;
  • специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИПример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ 2

Скачать Приказ о создании комиссии (наименование организации, учреждения)

по категорированию объектов КИИ в формате MS Word.

 

Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

  • Протокол заседания комиссии;
  • Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.

ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.

Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Таблица перечня объектов КИИ

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения перечня.


    Запрос коммерческого предложения
    Запросить предложение

    Этап 3. Согласование перечня объектов КИИ

    На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).

    Результатом данного этапа является: Согласованный Перечень объектов КИИ.
    Основание проведения работ: ПП РФ №127, п. 15.

    Этап 4. Отправка перечня объектов во ФСТЭК

    На данном этапе готовится уведомление во ФСТЭК.

    Основание проведения работ: ПП РФ №127, п. 15.

    Этап 5. Сбор исходных данных для категорирования объектов КИИ

    На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

    Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

    а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
    б) описание процессов, автоматизируемых с помощью объекта КИИ;
    в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
    г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
    д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
    Основание проведения работ: ПП РФ №127, п.16.

    Этап 6. Анализ угроз безопасности

    В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

    Анализ угроз включает:

    а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
    б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
    в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
    г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

    В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
    Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

    Этап 7. Категорирование объектов КИИ

    Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
    Результатом работ по данному этапу является:

    • Акты категорирования объектов КИИ.

    Основание проведения работ: ПП РФ №127, п.16.

    Этап 8. Отправка сведений о категорировании во ФСТЭК

    Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
    Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
    После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

    Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

    • Формирование требований к обеспечению безопасности значимого объекта;
    • Уточнение модели угроз безопасности информации;
    • Разработка рекомендаций по нейтрализации отдельных угроз;
    • Проектирование СОИБ АСУ ТП;
    • Разработка рабочей (эксплуатационной) документации;
    • Установка и настройка СЗИ;
    • Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
    • Предварительные испытания СОИБ АСУ ТП;
    • Опытная эксплуатация СОИБ АСУ ТП;
    • Анализ уязвимостей и принятие мер по их устранению;
    • Приемочные испытания СОИБ АСУ ТП;
    • Пересмотр установленной категории значимости АСУ ТП.


      Запрос коммерческого предложения
      Запросить предложение

      Итоговый этап. Независимая экспертиза работ по КИИ

      Итоговым этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

      Цели и задачи экспертизы:

      • Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
      • Выявление ошибок при проведении работ, либо установление, что ошибок не было;
      • Установление технической реализуемости проекта;
      • Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
      • Подтверждение функционирования СОИБ АСУ ТП.

      В группу экспертиза по КИИ входят:

      • Экспертиза проектной документации по защите КИИ;
      • Экспертиза качества проведенных работ по защите КИИ;
      • Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.

      Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:

      В зависимости от целей и задач,  а также поставленных вопросов, критерии могут быть иными.

      В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.

      Почему RTM Group?

      • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
      • Проведение работ по категорированию и защите объектов КИИ проводятся экспертами обладающими большим опытом построения комплексных систем обеспечения информационной безопасности по требованиям ФСТЭК России
      • Сроки проведения оценки соответствия от 1 до 3 месяцев (в зависимости от сложности объекта)
      • Мы обладаем лицензиями ФСТЭК России и ФСБ России:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать работы по КИИ

      Для уточнения стоимости и сроков заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.






      Видео по категорированию объектов КИИ

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      Аудиты и экспертизы

      Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

      Цены на услуги по категорированию объектов КИИ

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Категорирование объектов КИИ

      от 100 000 руб.

      Экспертиза проведенных работ по КИИ (объекты экспертизы уточняются отдельно)
      Опросный лист (анкета)

      от 50 000 руб.

      Экспресс-категорирование объектов КИИ
      Опросный лист (анкета)

      от 50 000 руб.

      Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

      FAQ: Часто задаваемые вопросы

      Здравствуйте, подскажите, пожалуйста. Составляю перечень объектов КИИ по рекомендуемой форме от ФСТЭК. У меня есть несколько рентген аппаратов. Мне написать в наименовании объекта как просто рентген аппарат или перечислить все их с моделью?

      Добрый день.

      Согласно формулировкам 187-ФЗ (ст.2 п.7) объектом КИИ является информационная либо автоматизированная система. Если аппарат не является таковым, то его нет необходимости включать в перечень объектов вообще. Даже в том случае, если аппарат имеет цифровое управление — хорошо видна аналогия со станками с численно-программным управлением, которые не являются объектами КИИ.

      Если же аппарат является именно информационной системой (что должно быть видно из документов на него), то необходимо указывать в перечне объектов любое наименование, которое позволит его идентифицировать, например «Аппарат №7». В качестве наименования «Аппарат №7» желательно использовать либо наименование, под которым система стоит на балансе, либо сразу паспортное наименование.

      Относится ли школа доп. образования к объектам КИИ?

      Согласно Федеральному закону № 187 объектами КИИ являются:
      — ИС (информационная система)
      — АСУ ТП (автоматизированная система управления технологическим процессом)
      — ИТКС (информационно-телекоммуникационная сеть).
      Т.е. школа дополнительного образования не является объектом КИИ, но может являться субъектом КИИ.
      Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
      — здравоохранение
      — наука
      — транспорт
      — связь
      — энергетика
      — банковская сфера и иных сферах финансового рынка
      — топливно-энергетический комплекс
      — атомная сфера
      — сфера обороны
      — ракетно-космическая
      — горнодобывающая промышленность
      — металлургическая промышленность
      — химическая промышленность.
      Т.е. школа дополнительного образования не будет являться объектом КИИ и не имеет отношения к субъектам КИИ, т.к. осуществляет свою деятельность в сфере образования.

      Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

      Добрый день.

      Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

      Есть несколько рентген аппаратов (3 штуки), в наименовании объекта как их необходимо описать, просто рентген аппарат или перечислить все их с моделью?

      Согласно формулировкам 187-ФЗ (ст.2 п.7) объектом КИИ является информационная либо автоматизированная система. Если аппарат не является таковым, то его нет необходимости включать в перечень объектов вообще. Даже в том случае, если аппарат имеет цифровое управление — хорошо видна аналогия со станками с численно-программным управлением, которые не являются объектами КИИ.

      Если же аппарат является именно информационной системой (что должно быть видно из документов на него), то необходимо указывать в перечне объектов любое наименование, которое позволит его идентифицировать, например «Аппарат №7». В качестве наименования «Аппарат №7» желательно использовать либо наименование, под которым система стоит на балансе, либо сразу паспортное наименование.

      Здравствуйте, объясните, если организация еще не прошла процедуру категорирования или это новая организация которой нужно пройти эту процедуру до какого числа, года нужно все это сделать? Во всех источниках указывают дату «до 01.09.2019», но если например организация только начала свою деятельность в 2020 году, как быть?

      Добрый день.

      Срок до 01.09.2019 установлен для госорганизаций, являющихся субъектами КИИ, как обязательный. Для прочих субъектов КИИ — как рекомендательный.

      Для госорганизаций, начавших свою деятельность после данной даты, либо коммерческих (частных) организаций, требований по срокам нет.

      Согласно комментариям ФСТЭК России — «в разумные сроки». На практике — до одного года с момента получения статуса субъекта КИИ.

      Доброго дня!
      Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
      Спасибо!

      Добрый день.

      Согласно п.8 ст.2 187-ФЗ:
      субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

      Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

      В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

      Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
      Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
      Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

      ООО оказывает услуги связи (телефония) и Интернет. Будет ли является субъектом КИИ?

      Добрый день.

      Да, все операторы связи являются субъектами КИИ.

      Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

      Проверка по КИИ может различаться по наличию значимых объектов.

      При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

      При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности. Перечень документов, регламентирующих обеспечение безопасности КИИ доступен по ссылке.

      При составлении перечня объекта КИИ, кто является ответственным за ИС?

      Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.

      Что может являться примером модернизации объектов информационной инфраструктуры?

      Примером модернизации объектов информационной инфраструктуры является, например, переход с одной АБС на другую, внедрение в банковскую систему, например, антифрода, или же внедрение СВТ, участвующего в процессе перевода денежных средств.

      Что такое объект информационной инфраструктуры?

      Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которое используется для осуществления переводов денежных средств.

      Наши отзывы по категорированию объектов КИИ

      Отзыв о RTM Group от ПАО
      Специалисты ООО «РТМ ТЕХНОЛОГИИ» оказали комплекс услуг по проведению аудита безопасности объектов критической информационной инфраструктуры, а также провели нормативное исследование (экспертизу) функционирования системы ДБО. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Надеемся на сохранение сложившихся позитивных деловых отношений для реализации совместных проектов по информационной безопасности в будущем. С уважением, Начальник департамента информационной безопасности Курило П.А.

      Услуги для вас

      Экспресс-категорирование объектов КИИ

      Экспресс-категорирование объектов КИИ

      - Для каких предприятий подойдет экспресс-категорирование объектов КИИ?
      - В чем отличие от стандартной услуги по категорированию?
      - Этапы работы
      - Ограничения и преимущества

      Полезные статьи

      Критическая информационная инфраструктура 2019 год

      Критическая информационная инфраструктура 2019 год

      - Что такое критическая информационная инфраструктура?
      - О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?
      - Что такое ГосСОПКА?
      - Что такое НКЦКИ?
      - Какие работы необходимо провести для обеспечения безопасности КИИ?
      - Какие нормативные документы по КИИ есть в настоящий момент?
      Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

      Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

      — Что является «объектом КИИ», а что «субъектом»?
      — Какие объекты КИИ подлежат категорированию?
      — Пошаговый рабочий алгоритм категорирования объектов
      — Какая информация понадобится для подачи во ФСТЭК?
      — Как определиться по срокам?
      — Практические примеры по конкретным отраслям и организациям

      НАМ ДОВЕРЯЮТ