порядок категорирования объектов кии

Оглавление:

Категорирование КИИ: не спеши, но поторапливайся!


Привожу с разрешения коллеги (Андрей, спасибо!): В ходе своего выступления на конференции ИБ АСУ ТП КВО Виталий Лютиков ещё в феврале пояснил, что действительно срок не определён, но будут действовать по ситуации: если никто добровольно не начнёт делать Перечни, то рассмотрят вопрос с принудительным введением конкретного срока, ещё и административные меры за несоблюдение предложат ввести: В целом, понятно, что рано или поздно составить Перечень придётся и каждый субъект КИИ самостоятельно решает, насколько он готов эту работу отсрочить.

Однако, хотелось бы обратить внимание на один важный момент, чтобы это решение было более продуманным.

Дело в том, что, как уже отметил выше, после утверждения Перечня на проведение категорирования будет ровно год: Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.

Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ

Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

  1. Уставы, положения организаций (госорганов);
  2. Общероссийский классификатор видов экономической деятельности;
  3. Другие источники.
  4. Лицензии и иные разрешительные документы на различные виды деятельности;

Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности.Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

КИИ. Категорирование объектов, часть 3

Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети.

Тут нет особого смысла добить на маленькие кусочки.

Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей. 3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос.

органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено.

Поэтому просто пишем письмо “В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2019 г.

№ 127 направляем Вам на согласование

Статья 7. Категорирование объектов критической информационной инфраструктуры

Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. 5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.

6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения

Сделать заказ

  • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014№ К 1274)
  • Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
  • — Национальный координационный центр по компьютерным инцидентам – структура, отвечающая за обеспечение координации деятельности субъектов КИИ, является составной частью ГосСОПКА. Создана приказом ФСБ России №366 от 24 июля 2019 года

    «О Национальном координационном центре по компьютерным инцидентам»

    .

    В функции НКЦКИ входит:

    1. Координация мероприятий и участие в мероприятиях по реагированию на компьютерные инциденты
    2. Организует и осуществляет обмен информацией о компьютерных инцидентах

    Постановление Правительства РФ от 8 февраля 2019 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»

    N 127 Правилакатегорирования объектов критической информационной инфраструктуры Российской Федерации 1. Настоящие Правила устанавливают порядок и сроки категорирования объектов критической информационной инфраструктуры Российской Федерации (далее соответственно — критическая информационная инфраструктура, категорирование).

    2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры. 3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры. 4. Определение

    Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений

    Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.3.

    Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.4.
    Определение категорий значимости объектов критической информационной инфраструктуры (далее — категория значимости) осуществляется на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, предусмотренных перечнем показателей критериев значимости объектов критической информационной инфраструктуры

    Проблемные вопросы процедуры категорирования объектов КИИ

    Какие объекты подлежат категорированию? Согласно п. 3 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв.

    постановлением Правительства Российской Федерации от 8 февраля 2019 года № 127, далее по тексту – Правила) категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ. Таким образом, из буквального толкования указанной нормы следует, что категорированию подлежат все принадлежащие субъекту КИИ объекты. При этом, некоторые эксперты, изучая процедуру категорирования объектов КИИ, нередко приходят к мнению, что категорированию подлежат только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществление управления, контроля или мониторинга ими.

    Сделать заказ

    В данном постановлении четко определено: «Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

    Исходя из буквального толкования п.

    Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме: Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ.