Решения для критических информационных инфраструктур

Субъекты КИИ

 

Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;
  • науки;
  • транспорта;
  • связи;
  • энергетики;
  • банковской и иных сферах финансового рынка;
  • топливно-энергетического комплекса;
  • атомной энергии;
  • оборонной и ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры.

 

Что подлежит категорированию?

 

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

 

Что в себя включает категорирование объектов КИИ?

 

Категорирование объекта КИИ предполагает определение его категории значимости на основе ряда критериев и показателей. Всего устанавливается три категории – первая, вторая или третья (в порядке убывания значимости). Если объект КИИ не соответствует ни одному из установленных критериев, ему категория не присваивается. Те объекты КИИ, которым была присвоена одна из категорий, называются в законе значимыми объектами КИИ.

По завершению категорирования сведения о его результатах должны направляться субъектом КИИ во ФСТЭК России для ведения реестра значимых объектов КИИ. В реестр включается следующая информация:

  • наименование значимого объекта КИИ;
  • наименование субъекта КИИ;
  • сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
  • сведения о лице, эксплуатирующем значимый объект КИИ;
  • присвоенная категория значимости;
  • сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
  • меры, применяемые для обеспечения безопасности значимого объекта КИИ.

Важно отметить, что если в процессе категорирования было определено отсутствие категории значимости у объекта КИИ, результаты категорирования все равно должны быть представлены во ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые должен учесть субъект КИИ.

Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию.

Порядок ведения реестра значимых объектов КИИ определяется приказом ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

 

Документы в области КИИ:

 

Пример приказа о создании комиссии:

В соответствии с п. 11 Постановления Правительства Российской Федерации от 8
февраля 2018 года № 127 «Об утверждении Правил категорирования объектов
критической информационной инфраструктуры Российской Федерации, а также перечня
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значений»

ПРИКАЗЫВАЮ:

1. Создать комиссию по категорированию объектов критической информационной
инфраструктуры *Название организации* в составе:

Руководитель комиссии: *ФИО и должность руководителя организации или его заместителя*;

Членов комиссии: *ФИО и должности членов комиссии*

2. Комиссии по категорированию в срок до 23 июля определить перечень объектов критической информационной инфраструктуры *Название организации* и согласовать его установленным порядком.

3. Комиссии по категорированию организовать категорирование объектов критической информационной инфраструктуры *Название организации* в соответствии с действующим законодательством.

4. Контроль за исполнением настоящего приказа оставляю за собой.

 

Оказываемые услуги:

 

  • Аудит субъекта КИИ и значимых объектов
  • Категорирование объектов КИИ
  • Разработка организационно-распорядительных документов по защите информации для объекта КИИ
  • Разработка проектной документации
  • Построение систем защиты информации значимого объекта