Категорирование КИИ
Критическая информационная инфраструктура (КИИ) — это системы и информационные ресурсы, от которых зависит стабильная работа организаций и отраслей экономики. Банки, транспортные компании, энергетика, промышленность, медицина и государственные организации используют информационные системы, нарушение работы которых может привести к серьезным последствиям.
В соответствии с требованиями Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», организации обязаны определить, относятся ли используемые ими информационные системы к объектам КИИ и провести их категорирование.
Категорирование — это процедура оценки значимости объектов КИИ и потенциального ущерба при нарушении их работы. По результатам категорирования объекту может быть присвоена одна из категорий значимости, что определяет требования к обеспечению его безопасности.
Наши специалисты помогают компаниям провести категорирование КИИ в соответствии с законодательством, правильно оформить документы и обеспечить взаимодействие с регулятором.
Категорирование объектов КИИ (187-ФЗ) с примерами
Категорирование объектов критической информационной инфраструктуры проводится для того, чтобы определить уровень значимости информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети.
В процессе категорирования анализируются возможные последствия инцидентов информационной безопасности, включая:
По итогам анализа объекту КИИ может быть присвоена одна из категорий значимости:
Первая категория — наивысшая значимость.
Инцидент может привести к масштабным последствиям на уровне государства или отрасли.
Вторая категория — существенное влияние на работу организации, отрасли или региона.
Третья категория — локальное влияние на деятельность компании или отдельного объекта.
Без категории – объект формально относится к КИИ, но ни по одному показателю не дотягивает до порогов значимости, тогда к нему не применяются дополнительные меры как к значимому объекту.
В процессе категорирования анализируются возможные последствия инцидентов информационной безопасности, включая:
- остановку технологических процессов и связанные с этим аварии или ущерб;
- нарушение оказания услуг;
- финансовый ущерб;
- угрозу безопасности граждан;
- ущерб государству или отрасли экономики.
По итогам анализа объекту КИИ может быть присвоена одна из категорий значимости:
Первая категория — наивысшая значимость.
Инцидент может привести к масштабным последствиям на уровне государства или отрасли.
Вторая категория — существенное влияние на работу организации, отрасли или региона.
Третья категория — локальное влияние на деятельность компании или отдельного объекта.
Без категории – объект формально относится к КИИ, но ни по одному показателю не дотягивает до порогов значимости, тогда к нему не применяются дополнительные меры как к значимому объекту.
Примеры объектов КИИ
Транспортная компания
Система управления логистикой и маршрутизацией может быть признана объектом КИИ, поскольку ее отказ способен остановить перевозки и нарушить работу транспортной инфраструктуры.
Промышленное предприятие
АСУ ТП (автоматизированная система управления технологическим процессом), управляющая производственной линией - потому что сбой или остановка системы приведёт к остановке производства, порче сырья и продукции, а в отдельных случаях - к авариям и угрозе жизни и здоровью людей.
Энергетическая компания
Система диспетчерского управления электросетями является значимым объектом КИИ, потому что её отказ способен вызвать массовое отключение электроэнергии, остановку жизнеобеспечивающих и промышленных объектов, а также нанести значительный экономический ущерб.
Медицинская организация
Информационная система, обеспечивающая управление медицинскими услугами и хранение данных пациентов может быть признана объектом КИИ, потому что её отказ нарушит оказание медицинской помощи, работу регистратур и приёмных отделений, а также создаст риски для жизни и здоровья пациентов из‑за недоступности критически важной информации.
В каждом случае проводится анализ возможных последствий нарушения работы системы и определяется категория значимости объекта.
Система управления логистикой и маршрутизацией может быть признана объектом КИИ, поскольку ее отказ способен остановить перевозки и нарушить работу транспортной инфраструктуры.
Промышленное предприятие
АСУ ТП (автоматизированная система управления технологическим процессом), управляющая производственной линией - потому что сбой или остановка системы приведёт к остановке производства, порче сырья и продукции, а в отдельных случаях - к авариям и угрозе жизни и здоровью людей.
Энергетическая компания
Система диспетчерского управления электросетями является значимым объектом КИИ, потому что её отказ способен вызвать массовое отключение электроэнергии, остановку жизнеобеспечивающих и промышленных объектов, а также нанести значительный экономический ущерб.
Медицинская организация
Информационная система, обеспечивающая управление медицинскими услугами и хранение данных пациентов может быть признана объектом КИИ, потому что её отказ нарушит оказание медицинской помощи, работу регистратур и приёмных отделений, а также создаст риски для жизни и здоровья пациентов из‑за недоступности критически важной информации.
В каждом случае проводится анализ возможных последствий нарушения работы системы и определяется категория значимости объекта.
Защита периметра сети
Чаще всего шифровальщики проникают через:
Мы внедряем:
- RDP и удаленный доступ
- уязвимости веб-сервисов
- открытые сетевые порты
Мы внедряем:
- межсетевые экраны
- контроль сетевых подключений
- ограничение доступа по IP
- защищенные VPN-подключения
- системы двухфакторной аутентификации
- проксирования удаленного доступа для подрядчиков (исключение прямых подключений)
Что входит в Акт категорирования КИИ
По результатам работы комиссии по категорированию формируется акт категорирования объекта КИИ — основной документ, подтверждающий проведение процедуры.
В акт категорирования входят:
Также формируются дополнительные документы и материалы:
Все документы должны быть оформлены в соответствии с требованиями нормативных актов и готовы к предоставлению регулятору.
В акт категорирования входят:
- описание объекта критической информационной инфраструктуры;
- сведения о субъекте КИИ;
- состав комиссии по категорированию;
- описание функций и назначения объекта;
- анализ возможных последствий инцидентов информационной безопасности;
- оценка показателей значимости - сводную таблицу расчетов;
- обоснование присвоенной категории значимости;
- решение комиссии о присвоении категории либо об отсутствии категории.
Также формируются дополнительные документы и материалы:
- перечень объектов КИИ организации;
- методика оценки значимости;
- протокол заседания комиссии;
- уведомление о результатах категорирования.
Все документы должны быть оформлены в соответствии с требованиями нормативных актов и готовы к предоставлению регулятору.
Участие ФСТЭК России в категорировании объектов КИИ
После завершения процедуры категорирования субъект КИИ обязан направить сведения о результатах в ФСТЭК России.
Регулятор выполняет несколько функций:
Важно, чтобы процедура категорирования была проведена корректно и документы были подготовлены без ошибок. Неправильное определение категории или несоответствие документов требованиям может привести к необходимости повторного проведения процедуры.
Кроме того, после присвоения категории значимости субъект КИИ обязан выполнить требования по защите информации (как минимум приказы ФСТЭК 235 и 239), чтобы обеспечить безопасность значимого объекта.
Регулятор выполняет несколько функций:
- принимает уведомление о категорировании;
- проверяет корректность оформления документов;
- вносит сведения об объекте в реестр значимых объектов КИИ;
- может запросить дополнительные материалы или уточнения.
Важно, чтобы процедура категорирования была проведена корректно и документы были подготовлены без ошибок. Неправильное определение категории или несоответствие документов требованиям может привести к необходимости повторного проведения процедуры.
Кроме того, после присвоения категории значимости субъект КИИ обязан выполнить требования по защите информации (как минимум приказы ФСТЭК 235 и 239), чтобы обеспечить безопасность значимого объекта.
Надежный и ответственный интегратор
- Если вы работаете с нами, то мы уверены, что решение вам подходит, можем даже отговорить от покупки, если это не соответствует целям и задачам
Мы экспертно подходим к задачам обеспечения безопасности
- Это не самая простая ниша, есть много продуктов, нюансов, тонкостей интеграции, поэтому с нами вы можете положиться на наш опыт и возможности с полной уверенностью!
Мы знаем боль компаний изнутри, так как сами используем те же самые подходы и проблемы роста
- Мы понимаем, как строить защиту, что нужно защищать, а на какую боль можно не обращать внимание. Мы свои.
Мы экономим нервы и время (силы / ресурсы)
даем решение для проблемы под ключ, вам не требуется тратить время на подбор, изучение, внедрение - мы это сделаем за вас. Сэкономим 3 месяца вашей жизни!
Чем мы можем помочь
Команда «Гладиаторов информационной безопасности» помогает организациям пройти процедуру категорирования КИИ быстро и без рисков для бизнеса.
Мы берем на себя все этапы работ:
Анализ инфраструктуры компании
Подготовка и проведение категорирования
Подготовка документации
Сопровождение взаимодействия с регулятором
Наши специалисты имеют многолетний опыт в сфере информационной безопасности и знают, как провести категорирование КИИ в соответствии с законодательством и без лишних рисков для бизнеса.
Если у вас есть вопросы по категорированию объектов критической информационной инфраструктуры или необходимо провести процедуру в вашей компании — свяжитесь с нами, и мы поможем решить задачу профессионально и в кратчайшие сроки.
Мы берем на себя все этапы работ:
Анализ инфраструктуры компании
- определяем, относится ли организация к субъектам КИИ;
- выявляем возможные объекты критической инфраструктуры;
- анализируем информационные системы и технологические процессы.
Подготовка и проведение категорирования
- формируем комиссию по категорированию;
- проводим анализ последствий инцидентов;
- рассчитываем показатели значимости;
- определяем категорию объекта КИИ.
Подготовка документации
- акт категорирования объекта КИИ;
- протоколы комиссии;
- перечень объектов КИИ;
- уведомление для ФСТЭК России.
Сопровождение взаимодействия с регулятором
- подготовка материалов для ФСТЭК;
- ответы на запросы регулятора;
- консультации по дальнейшим требованиям безопасности.
Наши специалисты имеют многолетний опыт в сфере информационной безопасности и знают, как провести категорирование КИИ в соответствии с законодательством и без лишних рисков для бизнеса.
Если у вас есть вопросы по категорированию объектов критической информационной инфраструктуры или необходимо провести процедуру в вашей компании — свяжитесь с нами, и мы поможем решить задачу профессионально и в кратчайшие сроки.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Вам также могут быть интересны услуги
Вендоры, с которыми работаем
Отзывы
Читайте по теме
Связаться с нами
Заполните поля и мы свяжемся с вами любым удобным способом
Спасибо