(критическая информационная инфраструктура)
- 100% финансовая гарантия
- Успешная практика взаимодействия с регуляторам
- Защищаем объекты КИИ по всей России
- Успешная практика взаимодействия с регуляторам
- Защищаем объекты КИИ по всей России
Обеспечим поддержку и сопровождение по безопасности КИИ
Категорирование объектов КИИ
Срок категорирования составляет один год со дня утверждения перечня объектов (п.15 Постановления Правительства РФ №127 «Об утверждении Правил категорирования объектов КИИ РФ»).
Срок отправки документов, разработанных по результатам категорирования, - 10 дней с момента утверждения.
Срок отправки документов, разработанных по результатам категорирования, - 10 дней с момента утверждения.
Как мы работаем
- 1Определяем угрозы безопасности объектов КИИ
- Определение возможных действия нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации
- Контроль защищенности объектов КИИ, в том числе контроль защищенности конфиденциальной информации, обрабатываемой в объектах КИИ, для определения уязвимостей и угроз безопасности информации
- 2Оцениваем масштаб возможных последствий нарушения деятельности объектов КИИ
- определение возможных последствий нарушения деятельности объекта КИИ
- определение ущерба, который возможен в результате компьютерного инцидента
- 3Определяем категории значимости объектов КИИ
- Присвоение категории значимости каждому объекту КИИ
- Подготовка и отправка во ФСТЭК России следующих документов:
- Акт категорирования объектов КИИ (для каждого объекта КИИ)
- Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
- План мероприятий по обеспечению безопасности объектов КИИ
Результат
Готовый пакет документов по категорированию объектов КИИ для отправки во ФСТЭК России
Посмотрите наши видео обзоры по категорированию объектов КИИ
• Короткие обзоры по вопросам обеспечения кибербезопасности, выполнения требования законодательства, прохождения проверок ФСБ, ФСТЭК, Роскомнадзора.
• Лайфхаки и наработками из практики.
• Лайфхаки и наработками из практики.
База знаний
Делимся знаниями и опытом со своими клиентами.
Меняем рынок и повышаем культуру информационной безопасности в компаниях.
Мы на регулярной основе проводим различные обучающие off/online конференции, семинары.
Те материалы, которые можно оцифровать, мы публикуем на специальном разделе сайта- "База знаний"
Меняем рынок и повышаем культуру информационной безопасности в компаниях.
Мы на регулярной основе проводим различные обучающие off/online конференции, семинары.
Те материалы, которые можно оцифровать, мы публикуем на специальном разделе сайта- "База знаний"
Получите консультацию по бесплатному
телефону 8 (800) 301 67 43 или отправьте заявку
на категорирование объектов КИИ
телефону 8 (800) 301 67 43 или отправьте заявку
на категорирование объектов КИИ
Мы понимаем вашу загруженность. Просто отправьте свои контактные данные, а наши специалисты оперативно свяжутся с вами, проконсультируют и ответят на ваши вопросы.
Подключимся на любом этапе
Наши специалисты имеют высокую экспертность в ИБ в разных сферах. Это позволяет выполнять проекты по КИИ "под ключ" либо подключиться к проекту на любом этапе.
Разрабатываем документы, необходимые для работ по составлению перечня объектов КИИ
Разрабатываем документы, необходимые для работ по категорированию объектов КИИ
Срок на проектирование СБ объектов КИИ - 90 дней с момента отправки документов по категорированию во ФСТЭК
Срок на внедрение системы защиты объектов КИИ - 90 дней с момента отправки документов по категорированию во ФСТЭК
Срок на внедрение системы защиты объектов КИИ - 90 дней с момента отправки документов по категорированию во ФСТЭК
Наши специалисты совместно с вами готовятся к проверке: помогают привести все в соответствие с законодательством
Критическая информационная инфраструктура (КИИ)
Критическая информационная инфраструктура (КИИ) — совокупность информационных систем и телекоммуникационных сетей, стабильная работа которых критически важна для полноценной жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства.
Это информационные активы, которые включают в себя программные и технические комплексы, Их выход из строя или компрометация данных систем может оказать разрушительное воздействие на все сферы жизнедеятельности государства.
Это информационные активы, которые включают в себя программные и технические комплексы, Их выход из строя или компрометация данных систем может оказать разрушительное воздействие на все сферы жизнедеятельности государства.
Что такое объекты и субъекты КИИ
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры – государственные органы, учреждения, юридические лица и (или) индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры – государственные органы, учреждения, юридические лица и (или) индивидуальные предприниматели, которым принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Объекты критической информационной инфраструктуры
Что такое категорирование
Под категорированием понимается определенный перечень работ по определению категории значимости с учетом ряда критериев и показателей объекта КИИ.
Всего существует три категории значимости, они ранжируются по потенциальному ущербу (самая высокая - первая категория). Если объект не отвечает ни одному критерию, то такой объект считается незначимым объектом КИИ. Если же ему были присвоена одна из категорий, то, согласно закону, его обозначают как значимый.
По завершению всех работ составляется акт категорирования объектов и «сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Акт является внутренним документом субъекта КИИ. Сведения же о результатах проведенного категорирования направляются каждым субъектом КИИ во ФСТЭК России. Это нужно с целью внесения в реестр всех значимых объектов.
Всего существует три категории значимости, они ранжируются по потенциальному ущербу (самая высокая - первая категория). Если объект не отвечает ни одному критерию, то такой объект считается незначимым объектом КИИ. Если же ему были присвоена одна из категорий, то, согласно закону, его обозначают как значимый.
По завершению всех работ составляется акт категорирования объектов и «сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Акт является внутренним документом субъекта КИИ. Сведения же о результатах проведенного категорирования направляются каждым субъектом КИИ во ФСТЭК России. Это нужно с целью внесения в реестр всех значимых объектов.
Категорирование объектов КИИ
Какую информацию вносят в реестр
В реестр значимых объектов критической информационной инфраструктуры вносятся следующие сведения об объекте КИИ:
Важный момент: даже если в результате проверки выявлено, что объект не отвечает критериям ни одной из категорий, и, соответственно он признается не значимым объектом КИИ, вся информация о нем всё равно должна быть передана во ФСТЭК России.
Дальше регулятором принимаются и обрабатываются сведения. После их обработки субъекту могут быть направлены замечания/рекомендации, которые субъекту важно учесть и при необходимости внести соответствующие корректировки в пакет документации для повторной отправки. Сроки регламентируются подзаконными актами. Если субъект отказывается предоставлять информацию, согласно закону ФСТЭК имеет полномочия потребовать сведения.
- наименование объекта;
- сфера деятельности субъекта;
- данные руководителя субъекта;
- информация о взаимодействии объекта с сетями элетросвязи;
- данные о лице/подразделении, ответственным за обеспечение безопасности значимых объектов;
- присвоенная по результатам рассмотрения исходной информации категория значимости;
- информация об архитектуре объекта (включая аппаратное обеспечения, системное и прикладное ПО), задействованных в работе и нужных для его функционирования;
- перечень мер, которые предпринимают для обеспечения безопасности, включая наложенные средства защиты информации
Важный момент: даже если в результате проверки выявлено, что объект не отвечает критериям ни одной из категорий, и, соответственно он признается не значимым объектом КИИ, вся информация о нем всё равно должна быть передана во ФСТЭК России.
Дальше регулятором принимаются и обрабатываются сведения. После их обработки субъекту могут быть направлены замечания/рекомендации, которые субъекту важно учесть и при необходимости внести соответствующие корректировки в пакет документации для повторной отправки. Сроки регламентируются подзаконными актами. Если субъект отказывается предоставлять информацию, согласно закону ФСТЭК имеет полномочия потребовать сведения.
Как объектам присваиваются категории
Все действующие правила и требования по категорированию описаны в Постановлении правительства от 08.02.2018 №127 «Об утверждении правил категорирования КИИ Российской Федерации».
Должны быть выполнены следующие работы:
Для категорирования объектов КИИ обследуют как уже созданные, так и только разрабатывающиеся или проходящие модернизацию информационные системы. Создается специальная постоянно действующая комиссия, назначается председатель комиссии, определяются специалисты, которым предстоит решить поставленную задачу.
Максимально возможный срок, отводимый на категорирование, составляет 1 год со дня вступления в силу постановления №127. Для вновь создаваемых систем присвоение категории значимости осуществляется до начала разработки проектной и рабочей документации. Стоит отметить, что категория может измениться в процессе проектирования, и в этом случае необходимо оповещать ФСТЭК в установленном порядке. Также обращаем внимание, что ранее присвоенная категория впоследствии может быть изменена по решению ФСТЭК. Причинами могут послужить любые принятые изменения, модернизация объекта или реорганизация субъекта КИИ.
Должны быть выполнены следующие работы:
- Выявление и установление процессов, которые осуществляются на субъекте: финансовые, управленческие, технологические, хозяйственные, транспортные и т.д..
- Определение критичных процессов (это те процессы, которые в результате их нарушения или остановки неизбежно приведут к нежелательным последствиям в экономике, обществе, промышленности, оборонном секторе).
- Установление перечня объектов КИИ, участвующих в процессе обработки информации, нужной для организации стабильной работы критических процессов, а также условий для управления ими и их постоянного отслеживания.
- Составление перечня объектов, которые подлежат категорированию. Этот список направляется во ФСТЭК в сроки, установленные постановлением №127, но не должны превышать 10 рабочих дней с момента утверждения данного перечня.
- Оценивается масштаб вероятных негативных последствий в результате атаки на значимые объекты согласно показателям, перечисленных в Правилах. Постановлением определены 14 показателей значимости.
- Объекту присваивается одна из категорий значимости или же принимается решение не присваивать таковую.
- Сведения о присвоенной категории значимости направляются во ФСТЭК в срок не позднее 10 рабочих дней с момента утверждения
Для категорирования объектов КИИ обследуют как уже созданные, так и только разрабатывающиеся или проходящие модернизацию информационные системы. Создается специальная постоянно действующая комиссия, назначается председатель комиссии, определяются специалисты, которым предстоит решить поставленную задачу.
Максимально возможный срок, отводимый на категорирование, составляет 1 год со дня вступления в силу постановления №127. Для вновь создаваемых систем присвоение категории значимости осуществляется до начала разработки проектной и рабочей документации. Стоит отметить, что категория может измениться в процессе проектирования, и в этом случае необходимо оповещать ФСТЭК в установленном порядке. Также обращаем внимание, что ранее присвоенная категория впоследствии может быть изменена по решению ФСТЭК. Причинами могут послужить любые принятые изменения, модернизация объекта или реорганизация субъекта КИИ.
Какие объекты КИИ подлежат категорированию
Перечень объектов КИИ, подлежащих категорированию:
- больницы, поликлиники;
- институты ядерной физики, НИИ;
- организации, отвечающие за логику общественного транспорта;
- инфраструктурные сооружения;
- различные финансовые учреждения;
- операторы мобильной связи, компании, обеспечивающие доступ к глобальной сети;
- предприятия из химической, металлургической промышленности;
- предприятия нефтедобывающего, энергетического сектора.
Категорирование объектов КИИ в Ovodov CyberSecurity
Компания OVODOV CyberSecurity обеспечивает полный комплекс услуг по проведению категорирования объектов критической информационной инфраструктуры в организациях любого масштаба.
Свяжитесь с нами любым способом и мы БЕСПЛАТНО проконсультируем вас по всем этапам категорирования!
Свяжитесь с нами любым способом и мы БЕСПЛАТНО проконсультируем вас по всем этапам категорирования!