Категорирование по значимости объектов критической информационной инфраструктуры (далее - КИИ), на самом деле, процесс затяжной и не особенно привычный для Российской действительности. Однако его необходимость уже законодательно обоснована, критерии процесса прописаны и не единожды откорректированы. В отличие от категорий безопасности объектов массового пребывания, о которых мы говорили в материалах опубликованных ранее, здесь при присвоении категории будут введены аспекты политической значимости и безопасности для государства, в которых ни много ни мало, а будут учитываться возможности нарушения международных договоров (срывы переговоров или подписания), нарушения условий договора межведомственного и даже межправительственного характера, а также прекращение или нарушения в исправной работе ситуационного центра органов госвласти, города, госкорпорации и прочее.
Основными законодательными актами в регулирования системы безопасности в сфере КИИ выступают Федеральный закон от 26 июля 2017 г. №_187 о безопасности критической информационной инфраструктуры и Постановление Правительства от февраля 2018 г. №_127 (с изменениями от апреля 2019 г), которое непосредственно устанавливает требования по категорированию и перечень показателей для присвоения каждой категории.
Сразу оговоримся, что категорирование осуществляется субъектами КИИ, которые располагают правом собственности, аренды или другим основанием на распоряжение объектом КИИ. Соответственно субъектами могут выступать госорганы и учреждения, юридические лица и индивидуальные предприниматели.
В свою очередь объекты КИИ - это информационные сис-мы, информационно-телекоммуникационные сети, АСУ субъектов, а также сети электросвязи.
При этом сферы КИИ очень широки. Это энергетика (в том числе, атомная) и ТЭК; наука и здравоохранение; производство и добывающие отрасли; банковская и финансовая сферы; транспорт и связь; а также оборонная, ракетно-космическая отрасли.
Категорирование КИИ является трудоемким процессом и его лучше доверить профессионалам. ООО "Астелс" окажет услуги по разработке всей необходимой документации для категорирования объектов КИИ.
Категорирование традиционно проводит специально уполномоченная комиссия, созданная руководителем субъекта (предприятие/организация/учреждения) КИИ. Комиссия является постоянно действующим органом и расформированию подлежит только в случаях описанных в пункте 11.3 указанного выше Постановления.
В нее включены:
1. Руководитель субъекта.
2. Квалифицированные сотрудники субъекта КИИ по видам основной деятельности. Специалисты по информационным технологиям, а также специалисты по эксплуатации основного технологического оборудования и его безопасности, контролю за опасными веществами и материалами.
3. Специалисты в сфере обеспечения информационной безопасности объектов КИИ.
4. Работники структурного подразделения МЧС.
5. Если субъект обрабатывает информацию, связанную с ГОСтайной - работники подразделения по защите гостайны субъекта КИИ.
6. Возможно включение других специалистов (по решению руководителя).
Для категорирования предоставляются следующие данные:
1. исходные сведения об объекте (включают в себя - предназначение объекта, архитектура, используемые программные и аппаратные средства, взаимодействие с другими объектами КИИ, хар-ки доступа к сетям связи и соответствующая информация);
2. описываются процессы, которые обеспечивают производственные, технологические, финансово-экономические, управленческие и другие процессы в рамках выполнения функций/осуществления деятельности субъектов;
3. состав информации, обрабатываемой объектами КИИ, по контролю, управлению, мониторингу и подобное;
4. декларация промышленной безопасности для объектов, где они обязательны и где используются КИИ;
5. данные о взаимодействии объекта с другими объектами КИИ и их зависимости друг от друга;
6. сведения об угрозе/ах безопасности информации, статистические данные о компьютерных инцидентах.
В рамках процесса категорирования должны быть установлены процессы, нарушение хода которых и/или прекращение может привести к негативным социальным (здесь подразумеваются не только причинение вреда здоровью, но и нарушение в функционировании объектов, отвечающих за жизнедеятельность населения, транспортные услуги, связь и подобное), экономическим, экологическим, политическим последствиям, немалое значение уделяется и значимости для обеспечения обороны и безопасности государства и правопорядка. Также будут обязательно установлены объекты КИИ (а также составлен их перечень), которые обрабатывают информацию, необходимую для обеспечения критических процессов или осуществляют управление и контроль этих процессов. И конечно, категорирование предполагает анализ и оценку значимости последствий в случае возникновения компьютерных инцидентов на объектах КИИ.
Главное, комиссия после анализа угроз информации устанавливает каждому из объектов одну из трех категорий значимости (высокая - первая, самая низкая категория - третья). Полный перечень критериев и показателей критериев для объектов критической информационной инфраструктуры можно найти здесь.
Итогом работы комиссии является акт, который содержит сведения об объекте КИИ и присвоенную ему категорию, либо данные об отсутствии необходимости присвоения категории. Последнее возможно в ситуациях, когда ни один из указанных в Постановлении критериев не может быть применен.
Наконец, длительность процесса категорирования не должна превышать 12 месяцев со дня утверждения перечня объектов. Важно отметить, что процесс категорирования конкретного объекта может быть запущен только после согласования перечня объектов КИИ для определенного субъекта в ФСТЭК.
Также пересмотр категории субъект КИИ должен осуществлять не реже, чем раз в пять лет. Причины пересмотра указаны в пункте 21 Постановления.
По всем интересующим вопросам и для получения консультации по темам категорирования объекта КИИ, ТЭК, ТИ, а также мест массового скопления людей можно обращаться по тел.: 8-800-70-70-144.
