Реализация Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Критическая информационная инфраструктура (далее – КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Под «категорированием» понимается установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Таким образом, категорирование – это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и, исходя из значений этих показателей, ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.
Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127 вставить ссылку), далее по тексту – Правила категорирования.
Какие объекты КИИ подлежат категорированию согласно Правилам категорирования?
«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры»
Для начала необходимо составить алгоритм работы по категорированию объектов:
- Определить, является ли ваша организация субъектом КИИ (согласно 187-ФЗ);
- Определить и составить полный перечень процессов, протекающих в вашей организации;
- Выявить из перечня процессов критические;
- Далее необходимо выделить объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов;
- Согласно Правилам категорирования оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ;
- Подготовить Акт категорирования объектов КИИ для отправки во ФСТЭК.
Далее каждый шаг описан более подробно.
Проведение категорирования
Рисунок 1 – Процедура категорирования
Шаг первый.
Формирование комиссии по категорированию. Состав комиссии может состоять из следующих специалистов:
- Руководитель субъекта КИИ/уполномоченное им лицо
- Специалисты, участвующие в процессах
- Специалисты по информационной безопасности
- Специалисты по защите государственной тайны
- Работники по ГО и ЧС
Шаг второй.
Подготовка перечня объектов КИИ подлежащих категорированию.
Оценить масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, в соответствии с перечнем показателей критериев значимости:
- Социальная значимость (5 показателей)
- Политическая значимость (2 показателя)
- Экономическая значимость (3 показателя)
- Экологическая значимость (1 показатель)
- Значимость для обеспечения обороны страны,
- Безопасности государства и правопорядка (3 показателя)
Шаг третий.
Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.
На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденными Правилами категорирования и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии.
Шаг четвертый.
Подготовка итоговых документов по результатам категорирования.
По итогам своей работы, комиссия по категорированию подготавливает два документа:
1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.
Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных ч.12 ст.7 Федерального закона № 187.
2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.
Сроки категорирования.
Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» на субъекты КИИ, государственные органы и государственные учреждения возложена обязанность утвердить перечень объектов КИИ, подлежащих категорированию до 1 сентября 2019 года. Таким образом, указанные субъекты КИИ обязаны завершить процедуру категорирования до 1 сентября 2020 года.