Субъекты КИИ
Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
- здравоохранения;
- науки;
- транспорта;
- связи;
- энергетики;
- банковской и иных сферах финансового рынка;
- топливно-энергетического комплекса;
- атомной энергии;
- оборонной и ракетно-космической промышленности;
- горнодобывающей, металлургической и химической промышленности.
Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.
Что подлежит категорированию?
Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.
Что в себя включает категорирование объектов КИИ?
Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.
По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:
- наименование значимого объекта КИИ;
- наименование субъекта КИИ;
- сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
- сведения о лице, эксплуатирующем значимый объект КИИ;
- присвоенная категория значимости;
- сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
- меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.
Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.
Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
Документы в области КИИ:
- Указ № 620 от 22.12.2017 ГосСопка.pdf
- Указ № 646 от 05.12.2016 Доктрина ИБ.pdf
- Указ № 803 от 03.02.2012 Госполитика по АСУТП и КВО.pdf
- Указ № 1274 от 12.12.2014 Концепция ГосСопки.pdf
- № 127-ПП от 08.02.2018 Правила категорирования КИИ.pdf
- № 162-ПП от 17.02.2018 Госконтроль КИИ.pdf
- № 187-ФЗ от 26.07.2017 О безопасности КИИ.rtf
- № 193-ФЗ от 26.07.2017 Изменения в разные НПА.pdf
- № 194-ФЗ от 26.07.2017 Изменения в УК.pdf
- Приказ ФСТЭК № 227 от 06.12.17 Ведение реестра КИИ.pdf
- Приказ ФСТЭК № 229 от 11.12.2017 Форма акта проверки.pdf
- Приказ ФСТЭК № 236 от 22.12.2017 Форма направления сведений.pdf
- Приказ ФСТЭК № 235 от 21.12.2017 Требования к системе безопасности.pdf
- Указ № 31с от 15.01.2013 О создании ГосСопка.rtf
- Приказ ФСТЭК № 239 от 25.12.2017 Требования защиты КИИ.pdf
- Указ № 98 от 02.03.2018 Изменения в перечень секретки.pdf
- Указ № 569 от 25.11.2017 Изменения в Положение о ФСТЭК.pdf
- Указ № 203 от 09.05.2017 Информационное общество до 2030.pdf
Пример приказа о создании комиссии:
В соответствии с п. 11 Постановления Правительства Российской Федерации от 8
февраля 2018 года № 127 «Об утверждении Правил категорирования объектов
критической информационной инфраструктуры Российской Федерации, а также перечня
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значений»
ПРИКАЗЫВАЮ:
1. Создать комиссию по категорированию объектов критической информационной
инфраструктуры *Название организации* в составе:
Руководитель комиссии: *ФИО и должность руководителя организации или его заместителя*;
Членов комиссии: *ФИО и должности членов комиссии*
2. Комиссии по категорированию в срок до 23 июля определить перечень объектов критической информационной инфраструктуры *Название организации* и согласовать его установленным порядком.
3. Комиссии по категорированию организовать категорирование объектов критической информационной инфраструктуры *Название организации* в соответствии с действующим законодательством.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Оказываемые услуги:
- Аудит субъекта КИИ и значимых объектов
- Категорирование объектов КИИ
- Разработка организационно-распорядительных документов по защите информации для объекта КИИ
- Разработка проектной документации
- Построение систем защиты информации значимого объекта