Самое первое с чего стоит начать действительно работать над темой. Данный этап формализует для Вас, что же у Вас происходит, что может сломаться и к чему может привести
Хороший пример на сайте businessstudio.ru
Теперь для себя отвечаем на вопрос, мы хотим точно составить нормативку? То есть огласить всю структуру инфраструктуры и познать все прелести наличия значимости. Или же выберем из своей сети объекты КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127), которых не сомневаемся? ;)
Чтобы оценить честно, ответим на важный вопрос: нарушение (или остановка) каких процессов в банке (наш пример) приведет к негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).
Далее переходим от процессов к объектам КИИ:
Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.
Для соответствия процессов и объектов можно составить такую простую таблицу:
Таблица 1. Объекты КИИ и процессы
Например, в качестве объектов КИИ в банке есть:
- Система дистанционного банковского обслуживания (СДБО);
- Процессинговая система;
- Антифрод система;
- Автоматизированная банковская система (АБС) и др.
На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».
Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1). И можем категорировать)