Категорирование КИИ. Часть 1

Категорирование КИИ. Часть 1

В процессе написания автор пришел к выводу, что охватить весь объем материала в одной статье будет достаточно сложно. В первую очередь – для восприятия читателями. Поэтому разобьем весь материал на части.

Часть 1. Основания проведения категорирования. Комиссия по категорированию.

Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее – Правила) и Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее – Перечень), утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Постановление № 127). 

В очередной раз напомним, кого можно отнести к категории субъектов КИИ. В соответствии
с п. 8 ст. 2 Закона № 187-ФЗ:

«…субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

1. Таким образом, необходимо проанализировать сферы деятельности организации и определить:

  • во-первых, функционирует ли она в перечисленных в Закона № 187-ФЗ сферах. 

ФСТЭК России был предложен метод, основанный на анализе учредительной документации, устава, положения об организации, где указаны основной и вспомогательные виды деятельности (например, выписка из ЕГРЮЛ, где перечислены ОКВЭД), а также имеющимися лицензиями, сертификатами и иными разрешительными документами на виды деятельности. То есть, если
в любом из указанных источников присутствует указание на перечисленные выше виды деятельности, это может быть расценено регулятором, как признак того, что организация является субъектом КИИ.

  • вторым существенным фактором является наличие «на праве собственности, аренды
    или на ином законном основании» информационных систем, информационно телекоммуникационных сетей, автоматизированных систем управления, которые функционируют в вышеупомянутых областях.

В качестве примера можно привести «Методические рекомендации
по определению и категорированию ОКИИ ТЭК», согласованные ФСТЭК России (исх. От 26.08.2019 № 240/25/4048). В разделе 2 Методических рекомендаций читаем:

«…Отнесение любого государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:

1) Государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.

2) Государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании любые ИС, ИТКС и АСУ ТП.

3) Российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие ИС, ИТКС и АСУ ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных 
п. 8 ст. 2 Федерального закона N 187-ФЗ.

Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не является субъектом КИИ, если условия выполняются (одновременно первые два условия или третье условие), то является субъектом КИИ…». Итак, мы определили, что организация является субъектом КИИ. Давайте разбираться, что делать дальше.

2. Обязанности по проведению категорирования установлены статьей 7 Закона № 187-ФЗ

Категорирование объекта критической информационной инфраструктуры включает:

  1. Установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений;
  2. Присвоение ему одной из категорий значимости;
  3. Проверку сведений о результатах ее присвоения.

Категорирование осуществляется субъектами критической информационной инфраструктуры
в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.

Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические
и (или) иные процессы в рамках выполнения функций
(полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Закона № 187-ФЗ. Таким образом, если объект не задействован при выполнении функций, перечисленных в предыдущем абзаце, категорированию он не подлежит.

Всего устанавливаются три категории значимости объектов критической информационной инфраструктуры – первая, вторая и третья. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев
и их значениям, ему не присваивается ни одна из таких категорий.

3. Категорирование осуществляется исходя из:

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого
и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Однако, прежде чем перейти к детальному рассмотрению критериев категорирования, стоит рассмотреть, какими силами оно должно осуществляться.

4. Комиссия по категорированию

Довольно частое явление при формировании различного рода комиссий – нежелание сотрудников участвовать в их деятельности. А лучше – переложить всю ответственность на одного специалиста. Порой единственным выходом является только приведение аргументов в виде конкретного законодательного акта. В случае в комиссией по категорированию, можно сослаться на п. 11 Постановления № 127. В нем четко обозначен состав комиссии.

Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются:

а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;

б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю
за опасными веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны
и защиты от чрезвычайных ситуаций.

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники не указанных подразделений, в том числе финансово-экономического подразделения.

По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.

В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами. Комиссию по категорированию возглавляет руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо. Иными словами, необходимо определить состав комиссии в соответствии с требованиями Постановления № 127,
а также утвердить его приказом руководителя.

NB. Кстати, здесь нам также может прийти на помощь Указ Президента
от 01.05.2022 № 250. Поскольку пунктом 2 этого Указа, персональная ответственность за обеспечение информационной безопасности возлагается на руководителя организации. А п. е)
п. 1 Указа предусмотрена обязанность реализации организационных и технических мер в сфере информационной безопасности, к которым можно отнести, в частности, процесс категорировании объектов КИИ
.

Комиссия по категорированию подлежит расформированию в следующих случаях:

а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных Законом № 187-ФЗ;

б) ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.

В случае кадровых изменений следует незамедлительно отражать их в соответствующих приказах.

NB. Кстати, необходимо учесть, что если кадровые изменения касаются «сведений о лице, эксплуатирующем объект критической информационной инфраструктуры», в соответствии с Постановлением Правительства Российской Федерации от 24 декабря 2021 г. N 2431 «О внесении изменений в правила категорирования объектов критической информационной инфраструктуры Российской Федерации», необходимо уведомить об этом ФСТЭК. Требования по уведомлению ФСТЭК касаются всех субъектов КИИ, вне зависимости от того, признаны ли объекты КИИ значимыми (ЗОКИИ) или незначимыми (НОКИИ).

Забегая вперед, в случае, если по результатам категорирования объекты будут признаны значимыми, необходимо выполнять требования Приказа Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Пунктом 12 этого Приказа установлены требования к квалификации сотрудников подразделения по информационной безопасности. Это следует принять во внимание при формировании штатного расписания и должностных регламентов.

Вообще, для начала процедуры наличия комиссии не требуется. Инициировать начало работ может подразделение в функции которого входит обеспечение безопасности, либо отвечающие за информационные технологии. Для начала процедуры необходимо составить служебную записку либо иной документ в соответствии с регламентом делопроизводства в организации, в котором указать основания для проведения процедуры, в нем же можно инициировать создание комиссии по категорированию.

5. Обязанности комиссии по категорированию

Комиссия по категорированию в ходе своей работы:

а) определяет процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;

в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей;

г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;

д) анализирует угрозы безопасности информации, которые могут привести
к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;

е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;

ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

Итак, после формирования, комиссия приступает к своим непосредственным обязанностям. И начинает с самого главного – с определения процессов в сфере КИИ, и, отдельно, выявления критических процессов. Именно выявление процессов и объектов КИИ и будет темой рассмотрения в нашей следующей публикации. Следите за новостями на нашем сайте.
А, чтобы ничего не пропустить, подписывайтесь на наш Телеграм-канал.

P.S. По секрету скажу, что в него можно приглашать друзей и знакомых,
для которых будет актуальна тематика, связанная с информационной безопасностью.

До новых встреч 😉

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Запрос обратного звонка


    ×
    Установка программы, обновление, загрузка необходимых баз

    Быстро установим ПК ГРАНД-Смета на ваш компьютер

    При выходе обновлений ПК ГРАНД-Смета, сами свяжемся с вами и обновим вашу программу (до последнего релиза текущей версии или до последней версии, при наличии действующей лицензии на обновление)

    Загрузим необходимые нормативные базы, территориальные единичные расценки (ТЕР), индексы и ценники (при наличии лицензий на названные продукты)

    ×
    Обучение, помощь в работе с программой, обеспечение нормативной документацией

    Проведем вводный курс обучения по работе в ПК ГРАНД-Смета

    Проконсультируем, поможем преодолеть трудности, с которыми вы сталкиваетесь при работе с программой ГРАНД-Смета

    При выходе обновлений, продемонстрируем новые функции ПК ГРАНД-Смета

    Вовремя обеспечим необходимой нормативно-технической документацией по ценообразованию и сметному нормированию в РФ, Республике Крым и в г.Севастополь.

    Пригласим на вебинары, мастер-классы и семинары по новым, эффективным методам работы в ГРАНД-Смете (в собственном оборудованном учебном классе)

    ×
    Исправление ошибок, восстановление работоспособности программы и ключей

    При сбое компьютера, восстановим работоспособность ПК ГРАНД-Смета

    При выходе из строя ключа ПК ГРАНД-Смета, произведем его замену (в соответствии с регламентом производителя), перенесем данные с одного ключа на другой.

    ×
    Внедрение iiko на предприятии общественного питания под ключ

    Установим и настроим программный комплекс iiko под потребности именно вашего предприятия.

    Подключим торговое и кассовое оборудование, настроим оптимальный режим работы. Приведем работу предприятия в соответствие с законодательством.

    ×
    Обучение, помощь в работе с программой, обеспечение нормативной документацией

    Проведем вводный курс обучения по работе в iikoOffice и iikoFront.

    Научим пользоваться системой эффективно.

    Расскажем, как начать зарабатывать с iiko еще больше.

    Создадим резервные копии и перенос данных в случае необходимости. Настроем регулярное резервное копирование.

    ×
    Исправление ошибок, восстановление работоспособности программы и ключей

    При сбое компьютера, сервера или кассы, восстановим работоспособность iiko.

    Исправим ошибки в работе персонала.

    ×
    Установка программы, обновление, загрузка необходимых баз

    Быстро установим ГОССТРОЙСМЕТА на ваш компьютер

    При выходе обновлений ГОССТРОЙСМЕТА, сами свяжемся с вами и обновим вашу программу (до последнего релиза текущей версии или до последней версии, при наличии действующей лицензии на обновление)

    Загрузим необходимые нормативные базы, территориальные единичные расценки (ТЕР), индексы и ценники (при наличии лицензий на названные продукты)

    ×
    Обучение, помощь в работе с программой, обеспечение нормативной документацией

    Проведем вводный курс обучения по работе в ГОССТРОЙСМЕТА

    Проконсультируем, поможем преодолеть трудности, с которыми вы сталкиваетесь при работе с программой ГОССТРОЙСМЕТА

    При выходе обновлений, продемонстрируем новые функции ГОССТРОЙСМЕТА

    Вовремя обеспечим необходимой нормативно-технической документацией по ценообразованию и сметному нормированию в РФ, Республике Крым и в г.Севастополь.

    Пригласим на вебинары, мастер-классы и семинары по новым, эффективным методам работы в ГОССТРОЙСМЕТА (в собственном оборудованном учебном классе)

    ×
    Исправление ошибок, восстановление работоспособности программы и ключей

    При сбое компьютера, восстановим работоспособность ГОССТРОЙСМЕТА

    При выходе из строя ключа ГОССТРОЙСМЕТА, произведем его замену (в соответствии с регламентом производителя), перенесем данные с одного ключа на другой.

    ×
    Установка программы, обновление, загрузка необходимых баз

    Быстро установим Smeta.RU на ваш компьютер

    При выходе обновлений Smeta.RU, сами свяжемся с вами и обновим вашу программу (до последнего релиза текущей версии или до последней версии, при наличии действующей лицензии на обновление)

    Загрузим необходимые нормативные базы, территориальные единичные расценки (ТЕР), индексы и ценники (при наличии лицензий на названные продукты)

    ×
    Обучение, помощь в работе с программой, обеспечение нормативной документацией

    Проведем вводный курс обучения по работе в Smeta.RU

    Проконсультируем, поможем преодолеть трудности, с которыми вы сталкиваетесь при работе с программой Smeta.RU

    При выходе обновлений, продемонстрируем новые функции Smeta.RU

    Вовремя обеспечим необходимой нормативно-технической документацией по ценообразованию и сметному нормированию в РФ, Республике Крым и в г.Севастополь.

    Пригласим на вебинары, мастер-классы и семинары по новым, эффективным методам работы в Smeta.RU (в собственном оборудованном учебном классе)

    ×
    Исправление ошибок, восстановление работоспособности программы и ключей

    При сбое компьютера, восстановим работоспособность Smeta.RU

    При выходе из строя ключа Smeta.RU, произведем его замену (в соответствии с регламентом производителя), перенесем данные с одного ключа на другой.

    ×
    Установка программы, обновление, загрузка необходимых баз

    Внедрим розничный учет предприятия на базе 1С:Розница под ключ как в одном магазине так и в сети магазинов.

    Установим и настроим программное обеспечение 1С:Розница под потребности именно вашего предприятия.

    Поставим, подключим и обслужим необходимое торговое и кассовое оборудование, настроим оптимальный режим работы. Приведем работу предприятия в соответствие с законодательством. Обучим персонал

    ×
    Обучение, помощь в работе с программой, обеспечение нормативной документацией

    Проведем полный курс обучения по работе с 1С:Розница.

    Научим пользоваться системой эффективно.

    Создадим резервные копии и перенос данных в случае необходимости. Настроим регулярное резервное копирование.

    ×
    Исправление ошибок, восстановление работоспособности программы и ключей

    При сбое компьютера, сервера или кассы, восстановим работоспособность рабочего места кассира в 1С:Розница.
    Всегда в наличии подменный фонд оборудования

    ×
    fsb_license_tobesoft
    ×

    ЛИЦЕНЗИЯ ФСТЭК НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

    ×

    ×