Наша работа - Ваша уверенность
187-ФЗ. Категорирование объектов КИИ.

Одним из важных действий при обеспечении исполнения 187-ФЗ является категорирование объектов КИИ.

Основное

Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критериям значимости и показателям их значений, присвоение категории значимости и проверку сведений о результатах ее присвоения.

Категорированию подлежат объекты, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях или сферах, установленных пунктом 8 статьи 2 187-ФЗ.

Правила категорирования объектов КИИ установлены Постановлением Правительства РФ от 08.02.2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». В нем прописаны порядок и сроки категорирования объектов КИИ, субъекты, отвечающие за него и этапы самого процесса.

Процедура категорирования

Согласно Правилам, процедура категорирования включает в себя:

    • определение субъектом КИИ перечня всех процессов, выполняемых в рамках своей деятельности;
    • выявление критических процессов, то есть тех процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;
    • определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими;
    • формирование перечня объектов КИИ, подлежащих категорированию, который подлежит согласованию с ведомством-регулятором, утверждается субъектом КИИ и в течение 5 рабочих дней после утверждения направляется во ФСТЭК России;
    • оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с показателями, указанных в Правилах (предусмотрено 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны);
    • присвоение каждому из объектов КИИ одной из категорий значимости в соответствии с наивысшим значением показателей, либо принятие решения об отсутствии необходимости присвоения категории.

Существует три категории значимости объектов КИИ. Самая высокая -1, самая низкая соответственно 3. При этом, если по одному из показателей критериев объект относится к высшей, расчет по остальным не производится. Категория значимости присваивается по наивысшему значению из показателей.
Для создаваемого объекта КИИ категория может быть определена на этапе его проектирования.

Исходные данные для категорирования:

    • сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
    • процессы в рамках функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
    • состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
    • декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект КИИ;
    • сведения о взаимодействии объекта КИИ с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта КИИ от других таких объектов;
    • угрозы безопасности информации в отношении объекта КИИ, а также данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.

Чтобы провести процедуру категорирования руководитель организации создает постоянно действующую комиссию по категорированию. В нее включается руководитель, сотрудники по информационной безопасности КИИ, работники в области ИТ и связи, работники по защите гостайны на объекте КИИ (если есть такая информация в организации), работники, отвечающие за гражданскую оборону и ЧС на предприятии. Также по решению руководителя в комиссию могут быть включены другие сотрудники.

Категория объекта КИИ может быть изменена по мотивированному решению ФСТЭК России в рамках государственного контроля безопасности объектов КИИ, в случае изменения самого объекта КИИ, а также в связи с реорганизацией субъекта КИИ (в том числе ликвидацией, изменением организационно-правовой формы и т.д.).

Контроль за исполнением закона

За ведение реестра объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности отвечает ФСТЭК (Федеральная служба по техническому и экспортному контролю) России.
Уполномоченные подразделения ФСБ России обеспечивают регулирование и координацию деятельности субъектов КИИ по развёртыванию сил и средств ОПЛ КА (силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак), осуществляет сбор информации о компьютерных инцидентах и оценку безопасности КИИ, а также разрабатывает требования к средствам ОПЛ КА.
В отдельных случаях, касающихся сетей электросвязи и субъектов КИИ в банковской и иных сферах финансового рынка, разрабатываемые ФСТЭК России и ФСБ России требования должны согласовываться с Минкомсвязью России и Центральным Банком Российской Федерации соответственно.
Порядок госконтроля в области обеспечения безопасности объектов КИИ определен постановлением Правительства Российской Федерации от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ».

Для знакомства с основными понятиями 187-ФЗ, а также об ответственности за его несоблюдение, рекомендуем прочитать нашу статью.

Поиск
Мы в соцсетях
Telegram-канал компании «Рубикон»: рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

    Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

    Принять