Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

Мы предлагаем:

  • Разработку Модели угроз и нарушителей безопасности ЗОКИИ
  • Разработку ТЗ на создание системы безопасности
  • Разработка ОРД по обеспечению безопасности
  • Взаимодействие с ГосСОПКа
  • Проектирование системы безопасности ЗОКИИ
  • Сопровождение процесса реализации проекта

Вы получаете:

  • Пакет ОРД на организацию безопасности значимых объектов КИИ, включая проектную документацию на систему безопасности
  • Соответствие требований ФСТЭК и ФСБ России
  • Рекомендации по повышению обеспечения защиты

Почему мы:

  • Проведено более 500 аудитов по различным критериям, более 50 из них по КИИ
  • Все проекты завершены точно в срок
  • Эксперты имеют профильное высшее образование и дополнительное образование по профессиональной переподготовке
  • Обладаем лицензиями ФСТЭК России и ФСБ России
  • Независимая экспертная компания – не являемся интегратором и не предоставляем аутсорсинговые услуги
Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ) - услуги RTM Group
Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ) - от RTM Group
Узнать стоимость?

Эксперты по по обеспечению безопасности ЗОКИИ

Эксперт по по обеспечению безопасности ЗОКИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по по обеспечению безопасности ЗОКИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по по обеспечению безопасности ЗОКИИ Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Для чего необходимы работы по обеспечению безопасности значимых объектов?

Данные работы проводятся на основании 187-ФЗ, Приказов ФСТЭК № 235 и 239 и Приказов ФСБ России № 367, 368, 281, 196 и 282, после проведения категорирования объектов критической информационной инфраструктуры (КИИ).

Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК.

ФСТЭК уполномочен осуществлять государственный контроль в виде проверок.

Проверки осуществляются в случаях:

  • спустя три года после внесения данных в реестр ФСТЭК об объектах КИИ от организации;
  • спустя три года после внеплановой проверки ФСТЭК.

Внеплановая проверка может быть в случаях:

  • по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
  • возникновения компьютерного инцидента, повлекшего негативные последствия;
  • по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.

Если в ходе проверок ФСТЭК выявит какие-либо нарушения или несоответствия, то будет выдвинуто предписание с конкретным сроком устранения правонарушений, как и, например, при неправильно проведенном категорировании объектов критической информационной инфраструктуры.

Совсем недавно были внесены изменения в 141-ФЗ «О внесении изменений в кодекс Российской Федерации об административных правонарушения», согласно которому организации несут ответственность за невыполнение требований области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (Статья 13.12.1.).

Результат работ

В результате Заказчик (субъект КИИ) получает большой и детализированный пакет ОРД на организацию безопасности значимых объектов критической информационной инфраструктуры, выполнение и соответствие требований ФСТЭК и ФСБ России, а также рекомендации по повышению обеспечения защиты значимых объектов КИИ.

Основные этапы выполнения работ

  1. Предпроектное исследование
  2. Разработка Модели угроз и нарушителей безопасности ЗОКИИ
  3. Разработка ТЗ на создание системы безопасности ЗОКИИ
  4. Разработка ОРД по обеспечению безопасности ЗОКИИ
  5. Взаимодействие (подключение) с ГосСОпКа

Проектирование системы безопасности

Субъект КИИ, который эксплуатирует значимые объекты КИИ, обязан создать систему безопасности ЗОКИИ.

Она включает в себя:

  • Проектирование и внедрение технических систем защиты в разрезе системы безопасности
  • Организацию взаимодействия с НКЦКИ
  • Разработку внутренней документации и многое другое

В процессе проектных работ наша компания будет производить такие работы, сопровождать внедрение технических средств и сопровождать реализацию проекта в целом.

Описание этапов работ

  1. Этап 1. Предпроектное исследование
    На данном этапе сотрудники RTM Group осуществляют интервьюирование сотрудников заказчика с целью сбора исходных данных об объектах критической информационной инфраструктуры, о категорировании и т.д.
  2. Этап 2. Разработка Модели угроз и нарушителей безопасности значимых объектов КИИ
    На данном этапе осуществляется разработка или доработка Модели угроз и нарушителей безопасности значимых объектов критической информационной инфраструктуры.
    Для осуществления данного этапа необходимо:

    1. Выявить источники угроз и оценка возможных нарушителей
    2. Оценка возможных сценариев и последствий от угроз

     

    Основание проведения работ: п.11.1 раздел 2 Приказа №239, п.12.6 раздела 2 Приказа №239

  3. Этап 3. Разработка ТЗ на создание системы безопасности значимых объектов КИИ
    На данном этапе выполняется следующее:

    1. Разработка Технического задания (ТЗ) на создание системы безопасности значимых объектов критической информационной инфраструктуры
    2. Определить типы объектов защиты
    3. Определить требования к организационным и техническим мерам
    4. Определение требований к информационному взаимодействию значимого объекта с иными ОКИИ (если таковые имеются)

     

    Основание проведения работ: ч.1 ст.10 187-ФЗ, раздел 2 Приказа № 235, п.11.1-11.3 раздел 2 Приказа №239, п.10 раздел 2 Приказа №239

  4. Этап 4. Разработка ОРД по обеспечению безопасности значимых объектов КИИ и проектирование системы безопасности
    На данном этапе осуществляется разработка Организационно-распорядительной документации (ОРД) с правилами и процедурами обеспечения безопасности в зависимости от имеющейся документации и требований к защите значимых объектов критической информационной инфраструктуры.
    Результатом же будет Пакет ОРД (например, Положение по обеспечению безопасности объектов КИИ, План ОНиВД и т.д.).
    Также на данном этапе производится проектирование системы обеспечения безопасности значимых объектов, включая разработку проектов внедрения систем защиты и сопровождение проекта

    Основание проведения работ: п.12.2 раздел 2 Приказа №239, п.12.3 раздел 2 Приказа № 239. п. 11.1 – п.11.3 Приказа №239.

  5. Этап 5. Взаимодействие (подключение) с ГосСОпКа
    На данном этапе осуществляется следующее:

    1. Подготовка заявки на подключение к НКЦКИ с информацией о значимых объектах критической информационной инфраструктуры
    2. Создание собственного ведомственного (корпоративного) центра (сегмента) ГосСОПКА
    3. После получения Регламента взаимодействия при обмене информации с НКЦКИ, разработка пакета ОРД о реагировании на компьютерные инциденты и принятии мер по ликвидации последствий.
    4. Выбор способа связи для передачи информации о компьютерных инцидентах
    5. Заключение соглашения для передачи информации о компьютерных инцидентах с НКЦКИ

     

    Основание проведения работ: Приказ ФСБ России от 24.07.2018 № 366, Приказ ФСБ от 24.07.2018 № 367, Приказ ФСБ России от 24 июля 2018 г. № 368, Приказ ФСБ России от 6 мая 2019 г. N 196, Приказ ФСБ России от 19 июня 2019 г. N 281, Приказ ФСБ России от 19 июня 2019 г. N 282

 

Начало работ и взаимодействие

Перед тем как приступить к проведению работ, RTM Group направляет опросный лист для определения у заказчика того, что есть в данный момент (какие объекты КИИ, что используют для защиты, какая документация имеется и т.д.).

После получения и анализа опросного листа, RTM Group дает обратную связь с заказчиком для уточнения деталей и обсуждения финального результата.

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Проведение работ по категорированию и защите объектов КИИ проводятся экспертами обладающими большим опытом построения комплексных систем обеспечения информационной безопасности по требованиям ФСТЭК России
  • Сроки проведения работ по обеспечению безопасности от 2 недель до 3 месяцев (в зависимости от сложности объекта)
  • Мы обладаем лицензиями ФСТЭК России и ФСБ России:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

 

Заказать услуги по по обеспечению безопасности ЗОКИИ

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Видео по по обеспечению безопасности ЗОКИИ

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по по обеспечению безопасности ЗОКИИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Разработка Модели угроз и нарушителей безопасности ЗОКИИ

Срок — от 3 недель

от 300 000 руб.

Разработка ТЗ на создание системы безопасности ЗОКИИ

Срок — от 2 недель

от 200 000 руб.

Разработка ОРД по обеспечению безопасности ЗОКИИ

Срок — от 2 недель

от 200 000 руб.

Взаимодействие (подключение) с ГосСОПКа

Срок — от 3 недель

от 300 000 руб.

Проектирование системы безопасности объекта КИИ

С учетом изменений, связанных с Указом Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»

по запросу

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Наши отзывы по по обеспечению безопасности ЗОКИИ

Благодарность RTM Group от ТК «МАРК-ИТТ»
12.11.2021
ООО ТК "МАРК-ИТТ" выражает благодарность за оказанную помощь в проведении категорирования объектов критической информационной инфраструктуры. По результатам работ эксперты RTM Group предоставили заключение, которое помогло закрыть все вопросы от регулятора – ФСТЭК. Хотим выразить благодарность сотрудникам компании, в частности: Анне Жиляковой (за консультации по заполнению шаблонных форм), Фёдору Мартынову (за контроль сроков и координацию всего процесса), Фёдору Музалевскому (за экспертные консультации). А также – благодарность всей команде RTM Group за оказанную услугу, высокое качество работы, оперативность и своевременную помощь по запросам. Успешная реализация проекта была бы невозможна без вашего участия. Желаем всему коллективу RTM Group здоровья, интересных замыслов, их благополучных воплощений и хороших клиентов. Благодарим сотрудников за профессиональный подход и рекомендуем компанию как надёжного партнёра! Директор ООО «ТК «Марк-ИТТ» А.А. Кошкин

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Относится ли школа доп. образования к объектам КИИ?

Согласно Федеральному закону № 187 объектами КИИ являются:
— ИС (информационная система)
— АСУ ТП (автоматизированная система управления технологическим процессом)
— ИТКС (информационно-телекоммуникационная сеть).
Т.е. школа дополнительного образования не является объектом КИИ, но может являться субъектом КИИ.
Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
— здравоохранение
— наука
— транспорт
— связь
— энергетика
— банковская сфера и иных сферах финансового рынка
— топливно-энергетический комплекс
— атомная сфера
— сфера обороны
— ракетно-космическая
— горнодобывающая промышленность
— металлургическая промышленность
— химическая промышленность.
Т.е. школа дополнительного образования не будет являться объектом КИИ и не имеет отношения к субъектам КИИ, т.к. осуществляет свою деятельность в сфере образования.

Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

Добрый день.

Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

Здравствуйте, объясните, если организация еще не прошла процедуру категорирования или это новая организация которой нужно пройти эту процедуру до какого числа, года нужно все это сделать? Во всех источниках указывают дату «до 01.09.2019», но если например организация только начала свою деятельность в 2020 году, как быть?

Добрый день.

Срок до 01.09.2019 установлен для госорганизаций, являющихся субъектами КИИ, как обязательный. Для прочих субъектов КИИ — как рекомендательный.

Для госорганизаций, начавших свою деятельность после данной даты, либо коммерческих (частных) организаций, требований по срокам нет.

Согласно комментариям ФСТЭК России — «в разумные сроки». На практике — до одного года с момента получения статуса субъекта КИИ.

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

ООО оказывает услуги связи (телефония) и Интернет. Будет ли является субъектом КИИ?

Добрый день.

Да, все операторы связи являются субъектами КИИ.

Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

Проверка по КИИ может различаться по наличию значимых объектов.

При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.

Что может являться примером модернизации объектов информационной инфраструктуры?

Примером модернизации объектов информационной инфраструктуры является, например, переход с одной АБС на другую, внедрение в банковскую систему, например, антифрода, или же внедрение СВТ, участвующего в процессе перевода денежных средств.

Что такое объект информационной инфраструктуры?

Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которое используется для осуществления переводов денежных средств.

Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.

Добрый день.
Случаями подачи информации во ФСТЭК являются:
— плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
— при изменениях состава объектов КИИ
— изменение показателей критериев значимости объектов КИИ или их значений.
В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к  сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.

Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

  1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
  2. Наличие компьютерного (сетевого) порта управления устройством;
  3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
  4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иных сферах финансового рынка;
  • топливно-энергетический комплекс;
  • атомная сфера;
  • сфера обороны;
  • ракетно-космическая;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность.

Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

«Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
2) Проверка выполнения требований по защите по пунктам:
— подтверждение актуальности МУ
— подтверждение выполнения технических требований
— подтверждение организационных требований (в том числе планов)
— проверка обучения
3) Контроль обработки инцидентов
4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.