...

Пошаговый гайд по процедуре категорирования объектов КИИ

КИИ — это объекты, чья защита критически важна для общества и экономики. Категорирование помогает понять, какие именно части инфраструктуры требуют строгих мер безопасности. Ниже — простая инструкция, ориентированная на широкую аудиторию, с примерами из реальной деятельности.

Подходите под требования 187-ФЗ?

Проведём анализ КИИ и внедрим меры защиты
Checkboxes
1

Соберите экспертную комиссию и зафиксируйте её решение

Сформируйте комиссию под руководством руководителя организации. В её состав включите специалистов по производству, информационной безопасности, автоматизированным системам управления и гражданской обороне. Это похоже на создание рабочей группы для петли поставщиков и рисков, чтобы каждый аспект был учтен.

Пример: в крупной компании по поставкам энергоресурсов в комиссию входят инженер по АСУ ТП, ИБ-специалист и ответственный за ГОЧС. Их задача — собрать полный перечень активов и оценить их критичность.
2

Составьте перечень объектов КИИ

Перечень — это полный список информационных систем, сетей и технических средств, которые выполняют ключевые функции для отрасли или предприятия. Его важно сделать максимально полно, чтобы не пропустить важные элементы.

Пример: для больницы это могут быть электронные медицинские карты, система мониторинга оборудования, телеметрия аптеки и система аварийного оповещения персонала.
3

Определите сферу и назначения объектов

Рассмотрите сферу деятельности: здравоохранение, энергетика, транспорт, связь и т. д. Объекты, функционирующие в критически важных сферах, имеют больший риск для общества при их сбоях.

Определите функциональное назначение: обслуживает ли объект жизненно важные процессы, влияет ли он на безопасность, на экономику или на государственные услуги.

Пример: информационная система диспетчерской службы транспорта имеет высокий приоритет, так как сбой может парализовать работу города.
4

Присвойте категорию значимости

Обычно выделяют несколько уровней значимости (например, A, B, C) в зависимости от потенциальных последствий утечки, повреждения или недоступности.

При принятии решения учитывайте: масштабы последствий, вероятность угроз, важность для населения и отрасли.

Пример: система управления аварийной сигнализацией в метро скорее получает более высокую категорию, чем обычная внутренняя база знаний сотрудников.
5

Согласование с регулятором

После внутреннего решения комиссия направляет перечень и обоснование в уполномоченный орган (регулятор). Это позволяет проверить корректность категорирования и при необходимости скорректировать.

Пример: крупная энергетическая компания согласует перечень объектов с регулятором отрасли, чтобы подтвердить, что все критические элементы учтены.
6

Подайте уведомление и подготовьте исходные данные

В рамках процедуры обычно требуется уведомление регулятору и сбор исходной информации, которая затем обобщается в итоговом отчете об обследовании.

Пример: в процессе уведомления регулятор получает данные об активных узлах сети, их местоположении и функциях, чтобы оценить общий уровень риска.
7

Оцените угрозы и определите меры защиты

На стадии категорирования анализируйте возможные угрозы и уязвимости каждого объекта. Определите базовый уровень защиты и необходимые технические и управленческие меры.

Пример: для сервера обмена медицинскими данными могут потребоваться усиленные меры доступа, шифрование и резервное копирование, чтобы минимизировать риск утечки.
8

Оформите акт категорирования

Итоговое решение оформляется в виде официального документа — акта категорирования, утверждаемого руководителем комиссии.

Пример: акт фиксирует, что конкретному медицинскому серверу присвоена категория высокой значимости и прописаны требования по защите.

Как избежать распространённых ошибок

  • Неполный перечень объектов: важно охватить все составляющие цепочки обработки данных, даже те, что казались второстепенными.
  • Игнорирование отраслевых особенностей: разные отрасли имеют свои критические параметры, не пренебрегайте отраслевыми критериями в пользу общих шаблонов.
  • Отсутствие документального обоснования: решения должны быть прозрачными и подкреплены данными инвентаризации и анализа угроз.
  • Несогласование с регулятором: без уведомления и согласования могут возникнуть требования пересмотра и штрафы за несоответствие.

Примеры из жизни

  • Объект: система диспетчеризации городского транспорта. Категория значимости высока, поскольку сбой может парализовать движение десятков маршрутов и ухудшить рабочий график миллионов горожан.
  • Объект: внутренняя база сотрудников. Хотя важна для работы, ее отключение не блокирует жизненно важные процессы, поэтому категория может быть ниже, но требует базовой защиты и контроля доступа.
  • Объект: система учёта электроэнергии на распределительной станции. Наличие дублирующих каналов связи и резервного энергоснабжения существенно влияет на стабильность подачи энергии, поэтому защита должна быть на высоком уровне.

Пояснение о документах и сроках

  • В процессе категорирования чаще всего формируются документы: перечень объектов КИИ, акт категорирования, протоколы согласования и уведомления регулятору. Сроки зависят от регулятора и специфики отрасли, поэтому важно заранее планировать календарь работ и ресурсы.
  • Если у вас появляется новый объект, который по масштабу может тянуть на значимость, регулятор может потребовать самостоятельного присвоения категории и уведомления об этом, а затем корректного добавления в перечни.

Заключение

«ЦЭК Безопасность» может взять на себя весь процесс категорирования КИИ и снять с вас сомнения и головную боль. Наши эксперты быстро проведут инвентаризацию активов, сформируют перечень объектов КИИ, подготовят акт категорирования и уведомления регулятору, а также обеспечат соответствие требованиям и сроки.

Вы получите единого ответственного и готовую документацию, чтобы спокойно сосредоточиться на текущей работе и не тратить время на бюрократию.

Готовы обсудить план внедрения и примерную дорожную карту под вашу отрасль? Жмите сюда!

Похожие материалы