АНО ДПО "Международная академия современного образования"

Распоряжение № 360-р и категорирование КИИ: практический алгоритм

Главная идея:

Распоряжение Правительства РФ № 360-р не присваивает категории значимости. Оно лишь определяет, какие системы должны пройти процедуру категорирования.

А Постановление № 127 уже отвечает на вопрос: какая категория значимости присваивается объекту.

Таким образом, процедура категорирования КИИ выглядит так:

1) Выявление объектов КИИ (360-р)

Сначала комиссия делает инвентаризацию информационных систем, ИТКС и АСУ.

На этом этапе не нужно сразу определять критичность — проверяется соответствие типовым объектам отраслевого перечня.

Примеры по отраслям:

Энергетика

АСУ ТП подстанций

Системы диспетчеризации электростанций

Системы мониторинга КИИ

Транспорт

Системы управления движением на железной дороге или в авиации

Системы диспетчеризации городского транспорта

Связь

Сети передачи данных для работы телеком-операторов

Системы маршрутизации и управления сетевыми сервисами

Не включаются без обоснования: бухгалтерские системы, локальные офисные сервисы.

Совет эксперта: системы, которые формально не в перечне, но могут влиять на критические процессы, включаются только с экспертным заключением.

2) Формирование перечня объектов для категорирования

Список составляется исходя из отраслевого перечня, а не из собственного мнения о критичности.

Важно документировать, почему системы включены или исключены.

Примеры включения:

Энергетика: АСУ ТП и системы диспетчеризации

Транспорт: управление движением поездов или авиарейсов

Связь: центральные узлы передачи данных

Примеры исключения:

Бухгалтерские системы

Локальные офисные сервисы

3) Оценка последствий по Постановлению № 127

Комиссия оценивает возможные последствия компьютерного инцидента:

Социальные (например, аварии в транспорте)

Политические (сбой работы критических сетей связи)

Экономические (остановка энергосетей)

Экологические (аварии на промышленных объектах)

Экспертная оценка особенно важна для систем вне перечня, но потенциально значимых.

На основе оценки присваивается категория.

Если ни один критерий не достиг порога — фиксируется решение о непринадлежности к категории.

4) Оформление результатов и направление во ФСТЭК

Комиссия оформляет акт категорирования

Руководитель организации утверждает акт

Сведения направляются во ФСТЭК России в течение 10 рабочих дней, даже если категория не присвоена

Важно: статья 7 ФЗ № 187-ФЗ связывает категорию с проверкой правильности присвоения по типовым объектам отраслей.

Практические рекомендации

360-р — фильтр отбора объектов

ПП № 127 — определяет категорию значимости после оценки последствий

Экспертное заключение необходимо для систем вне перечня, но значимых для процессов

Ошибки, которых стоит избегать:

Использовать 360-р как таблицу категорий

Игнорировать перечни и оценивать только критические процессы

Включать все системы без обоснования

Отсутствие документации по включению/исключению

Вывод:

360-р применяется в начале процедуры

ПП № 127 — на этапе оценки последствий и присвоения категории

Экспертная оценка ключевая для правомерного включения объектов вне перечней

2 минуты

20 марта