Категорирование объектов КИИ (экспертиза проведенных работ)

Согласно внутреннему подходу RTM Group, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов, а также этап итоговой независимой экспертизы по КИИ. Перечень этапов:

Описание этапов работ:

Этап 1. Создание комиссии по категорированию объектов КИИ

На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

  • генерального директора или уполномоченное им лицо;
  • специалистов производства;
  • специалистов промышленной безопасности;
  • специалистов отдела АСУ ТП;
  • специалистов отдела информационных технологий;
  • ответственных за обеспечения безопасности в АСУ ТП;
  • работников подразделения по защите государственной тайны;
  • специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Скачать Приказ о создании комиссии (наименование организации, учреждения)

по категорированию объектов КИИ в формате MS Word.

 

Основание проведения работ: ПП РФ №127, п. 11-13.

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

  • Протокол заседания комиссии;
  • Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
Основание проведения работ: ПП РФ №127, п. 14.

ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.

Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения перечня.

Этап 3. Согласование перечня объектов КИИ

На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).

Результатом данного этапа является: Согласованный Перечень объектов КИИ.
Основание проведения работ: ПП РФ №127, п. 15.

Этап 4. Отправка перечня объектов во ФСТЭК

На данном этапе готовится уведомление во ФСТЭК.

Основание проведения работ: ПП РФ №127, п. 15.

Этап 5. Сбор исходных данных для категорирования объектов КИИ

На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) описание процессов, автоматизируемых с помощью объекта КИИ;
в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
Основание проведения работ: ПП РФ №127, п.16.

Этап 6. Анализ угроз безопасности

В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

Анализ угроз включает:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

Этап 7. Категорирование объектов КИИ

Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
Результатом работ по данному этапу является:

  • Акты категорирования объектов КИИ.

Основание проведения работ: ПП РФ №127, п.16.

Этап 8. Отправка сведений о категорировании во ФСТЭК

Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
Основание проведения работ: ФЗ №187, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

  • Формирование требований к обеспечению безопасности значимого объекта;
  • Уточнение модели угроз безопасности информации;
  • Разработка рекомендаций по нейтрализации отдельных угроз;
  • Проектирование СОИБ АСУ ТП;
  • Разработка рабочей (эксплуатационной) документации;
  • Установка и настройка СЗИ;
  • Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
  • Предварительные испытания СОИБ АСУ ТП;
  • Опытная эксплуатация СОИБ АСУ ТП;
  • Анализ уязвимостей и принятие мер по их устранению;
  • Приемочные испытания СОИБ АСУ ТП;
  • Пересмотр установленной категории значимости АСУ ТП.

Итоговый этап. Независимая экспертиза работ по КИИ

Итоговым этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

Цели и задачи экспертизы:

  • Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
  • Выявление ошибок при проведении работ, либо установление, что ошибок не было;
  • Установление технической реализуемости проекта;
  • Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
  • Подтверждение функционирования СОИБ АСУ ТП.

В группу экспертиза по КИИ входят:

  • Экспертиза проектной документации по защите КИИ;
  • Экспертиза качества проведенных работ по защите КИИ;
  • Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.

Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:

В зависимости от целей и задач,  а также поставленных вопросов, критерии могут быть иными.

В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.

Для чего необходима экспертиза проведенных работ по КИИ?

Заключение может использоваться:

  • На этапе приемки результата выполненных подрядчиком работ;
  • В качестве обоснования корректности проведенных подрядчиком работ;
  • В качестве подтверждения корректности выполненных работ для регулятора;
  • При принятии решения об отправке сведений во ФСТЭК России.

Учитывая высокую социальную и государственную значимость проводимых по защите КИИ работ, независимая экспертиза является обязательным элементом, позволяющим не допустить негативных последствий как для непосредственных Исполнителей, так и для Заказчиков.

Цены

 

Наименование экспертизы Стоимость*
 

Категорирование объектов КИИ

 

от 100 000 рублей
 

Экспертиза проведенных работ по КИИ (объекты экспертизы уточняются отдельно)

 

от 50 000 рублей

 

* — для уточнения стоимости и сроков экспертизы заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.