Категорирование объектов КИИ (экспертиза проведенных работ)

Согласно внутреннему подходу RTM Group, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов, а также этап итоговой независимой экспертизы по КИИ. Перечень этапов:

Описание этапов работ:

Этап 1. Создание комиссии по категорированию объектов КИИ

На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

• генерального директора или уполномоченное им лицо;
• специалистов производства;
• специалистов промышленной безопасности;
• специалистов отдела АСУ ТП;
• специалистов отдела информационных технологий;
• ответственных за обеспечения безопасности в АСУ ТП;
• работников подразделения по защите государственной тайны;
• специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Скачать Приказ о создании комиссии (наименование организации, учреждения)

по категорированию объектов КИИ в формате MS Word.

 

Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

• Протокол заседания комиссии;
• Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.

ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.

Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения перечня.

Этап 3. Согласование перечня объектов КИИ

На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).

Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.

Этап 4. Отправка перечня объектов во ФСТЭК

На данном этапе готовится уведомление во ФСТЭК.

Основание проведения работ: ПП РФ №127, п. 15.

Этап 5. Сбор исходных данных для категорирования объектов КИИ

На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

Этап 6. Анализ угроз безопасности

В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

Анализ угроз включает:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

Этап 7. Категорирование объектов КИИ

Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
Результатом работ по данному этапу является:

• Акты категорирования объектов КИИ.

Основание проведения работ: ПП РФ №127, п.16.

Этап 8. Отправка сведений о категорировании во ФСТЭК

Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

• Формирование требований к обеспечению безопасности значимого объекта;
• Уточнение модели угроз безопасности информации;
• Разработка рекомендаций по нейтрализации отдельных угроз;
• Проектирование СОИБ АСУ ТП;
• Разработка рабочей (эксплуатационной) документации;
• Установка и настройка СЗИ;
• Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
• Предварительные испытания СОИБ АСУ ТП;
• Опытная эксплуатация СОИБ АСУ ТП;
• Анализ уязвимостей и принятие мер по их устранению;
• Приемочные испытания СОИБ АСУ ТП;
• Пересмотр установленной категории значимости АСУ ТП.

Итоговый этап. Независимая экспертиза работ по КИИ

Итоговым этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

Цели и задачи экспертизы:

• Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
• Выявление ошибок при проведении работ, либо установление, что ошибок не было;
• Установление технической реализуемости проекта;
• Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
• Подтверждение функционирования СОИБ АСУ ТП.

В группу экспертиза по КИИ входят:

• Экспертиза проектной документации по защите КИИ;
• Экспертиза качества проведенных работ по защите КИИ;
• Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.

Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:

• Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и проекты подзаконных актов;
• ПП Российской Федерации от 08.02.2018 г. № 127 «Об утверждении показателей критериев значимости ОКИИ РФ и их значений, а также порядка и сроков осуществления их категорирования»;
• Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
• Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
• Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

В зависимости от целей и задач,  а также поставленных вопросов, критерии могут быть иными.

В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.

Для чего необходима экспертиза проведенных работ по КИИ?

Заключение может использоваться:

• На этапе приемки результата выполненных подрядчиком работ;
• В качестве обоснования корректности проведенных подрядчиком работ;
• В качестве подтверждения корректности выполненных работ для регулятора;
• При принятии решения об отправке сведений во ФСТЭК России.

Учитывая высокую социальную и государственную значимость проводимых по защите КИИ работ, независимая экспертиза является обязательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.

Цены

 

Наименование экспертизы	Стоимость*
Категорирование объектов КИИ	от 100 000 рублей
Экспертиза проведенных работ по КИИ (объекты экспертизы уточняются отдельно)	от 50 000 рублей

 

* — для уточнения стоимости и сроков экспертизы заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.