Вы можете войти при помощи быстрого входа/регистрации используя свой телефон
Или если у вас нет аккаунта войдите через социальную сеть
Войдя на портал и регистрируясь в нем Вы принимаете:Категорирование КИИ всегда было важным процессом для информационной безопасности нашей страны (подробнее об услуге тут). Еще большую актуальность эта тема приобрела в марте 2022 года после публикации проекта постановления Правительства «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации». Этот документ призван урегулировать дополнительные проверки действительности и подлинности сведений об объектах критической информационной инфраструктуры (ОКИИ).
В данной статье мы разберемся в новых и хорошо забытых старых аспектах проведения категорирования ОКИИ и составим четкую картину об этом процессе.
Объекты критической информационной инфраструктуры — информационные системы, телекоммуникационные сети, автоматизированные системы управления и другие значимые системы, функционирование которых критически важно для жизнедеятельности государства.
Любое предприятие, которое использует подобные объекты — субъект КИИ. Под это определение входят организации из самых разных областей, которые обладают объектами КИИ в сферах здравоохранения, науки, транспорта, связи, энергетики, финансового рынка, а также в области атомной, оборонной, ракетно-космической, горнодобывающей, топливной, металлургической и химической промышленности.
Для того, чтобы определить наличие в организации объектов КИИ и их категорий значимости существует категорирование.
Категорирование КИИ — ряд мероприятий, который можно условно разбить на решение трех задач:
В первую очередь нужно понимать, что категорирование КИИ — обязательная процедура, которая регламентируется Федеральным законом №187-ФЗ. Также важно помнить, что согласно этому закону, субъекты КИИ должны не только провести категорирование, но и обеспечить:
Нарушения в сфере КИИ грозят должностным лицам административными штрафами и уголовной ответственностью до десяти лет лишения свободы (ст. 13.12.1 и 19.7.15 КоАП РФ, ст. 274.1 УК РФ).
Вдобавок к закону №187-ФЗ была разработана большая нормативная база по его реализации. Уже упомянутое мартовское постановление дает право привлекать для проверки сведений об объектах КИИ сторонние специализированные организации. Такими организациями являются компании с компетенциями в области информационной безопасности и лицензиями на проведение работ с государственной тайной, а также на деятельность по технической защите конфиденциальной информации.
Таким образом, это постановление позволяет сформировать новый способ независимой оценки результатов категорирования. Качество такой проверки обеспечено тем, что ее проводят профессионалы в области ИБ, чья компетентность официально подтверждена контролирующими органами.
Все начинается с создания комиссии, куда входят руководитель организации и сторонняя специализированная компания.
Категория значимости присваивается в зависимости от того, насколько нарушение процессов субъекта КИИ может привести к негативным последствиям для страны. Таких категорий всего три, и они которые зависят от значимости этого объекта в критических сферах деятельности (социальных, экономических и др). К примеру, если кибератака на объект КИИ угрожает жизни и здоровью людей, то такому объекту присваивается первая категория (максимальная), а если в результате инцидента связь может стать недоступной для большого числа абонентов, то объекту будет присвоена третья.
Как и с любым комплексным процессом, ошибки и упущенные детали при категорировании не редкость. Распространены случаи когда при составлении перечня объектов КИИ из виду упускаются или же неправильно определяются важные объекты. Подобные ошибки на данном этапе могут грозить компании не только нарушением закона, но и репутационными и финансовыми потерями. Поэтому при выполнении категорирования еще более актуальным становится работа с профессиональной организацией, которая грамотно сформирует перечень объектов КИИ и удостоверится, что все работы были проведены правильно.
После подписания акта, субъект КИИ направляет сведения о результатах проведенных работ во ФСТЭК России. В течении тридцати дней ФСТЭК, убедившись в правильности категорирования, выдает заключение с положительным ответом и вносит сведения в реестр значимых ОКИИ.
Категорирование КИИ — лишь первый, но необходимый шаг по обеспечению безопасности КИИ, который требует четкого исполнения всех законов и требований регуляторов и правильного, слаженного подхода. Однако при помощи экспертов в области информационной безопасности эта задача становится намного легче.