ВНИМАНИЕ! наш центр работает в штатном режиме!

Все заявки принимаются и обрабатываются своевременно

Возможны незначительные задержки по срокам доставки оригиналов в связи с перебоями работы курьерских служб.
Лермонтова, 43
Пн-пт: 9:00-19:00
+7 (383) 202-10-77max icon
info@gortestsibir.ru
-15% для новых клиентов
*Скидка действует в течение 30 дней после обращения для новых клиентов
Забрать скидку

Категорирование объектов критической информационной инфраструктуры

Категорирование объектов критической информационной инфраструктуры Категорирование объектов критической информационной инфраструктуры рассматривается как регламентированная процедура, направленная на определение степени важности используемых информационных и технологических решений. В ходе такой оценки устанавливается уровень их влияния на стабильность работы организации и определяется необходимый объем мер защиты.

В состав критической информационной инфраструктуры входят:

  • системы, предназначенные для хранения и обработки данных;
  • сети, обеспечивающие передачу информации;
  • автоматизированные решения, применяемые для управления процессами.

Функционирование каждого элемента связано с деятельностью субъекта — организации, работающей в стратегически значимой сфере. К таким направлениям относятся транспортная отрасль, финансовый сектор, энергетика, промышленное производство.

В рамках одного субъекта может использоваться несколько различных систем. Каждая из них подлежит отдельной оценке, так как отличается по назначению, характеристикам и степени влияния на процессы.

Нормативные основы и правила оценки

Требования к категорированию объектов критической информационной инфраструктуры установлены нормативными правовыми актами. Базовым документом выступает федеральный закон №187-ФЗ, который регулирует вопросы обеспечения безопасности таких систем.

Дополнительно применяются положения постановления Правительства №127. В данном акте зафиксированы критерии оценки, установлен перечень показателей, а также определены их значения, используемые при присвоении категории значимости.

В рамках регулирования учитываются следующие параметры:

  • социальная значимость;
  • экономический показатель;
  • влияние на государственную безопасность;
  • экологические последствия;
  • воздействие на устойчивость управления.

Каждый критерий анализируется с учетом возможных последствий сбоя. На основании полученных данных определяется категория объекта, уровень требований к защите.

Примеры объектов КИИ

Для более точного понимания состава КИИ учитываются типовые примеры систем, используемых в различных отраслях.

К таким объектам относятся:

  • информационная система записи пациентов в медицинской организации;
  • база данных клиентов оператора связи;
  • сеть управления транспортной инфраструктурой;
  • автоматизированная система очистки воды на промышленном объекте.

Каждый из перечисленных компонентов системы выполняет отдельную функцию. Даже при работе в рамках одного субъекта они рассматриваются независимо.

Взаимосвязь объекта и субъекта

Объект КИИ не функционирует самостоятельно. Он всегда принадлежит субъекту (организации).

В одном субъекте может использоваться сразу несколько систем. Пример: на предприятии одновременно применяется информационная система учета и автоматизированная система управления производством. В рамках категорирования каждая система оценивается отдельно.

Если объект используется для управления оборудованием, принадлежащим другому субъекту, оценка проводится с учетом сведений, предоставленных владельцем оборудования. Такой подход обеспечивает корректность анализа.

Критерии оценки значимости элементов

При категорировании применяется система показателей, которая помогает определить степень важности компонента. Оценка проводится по нескольким направлениям, каждое из которых отражает возможные последствия сбоя.

Учитываются следующие критерии:

  • социальный — влияние на жизнедеятельность населения;
  • политический — возможные нарушения в работе органов управления;
  • экономический — размер финансовых потерь;
  • экологический — риск причинения вреда окружающей среде;
  • значение для обороны, безопасности государства.

Каждый показатель анализируется с учетом конкретных условий эксплуатации. Полученные значения используются для принятия решения о присвоении категории.

Как проходит процедура категорирования

КИИ проводится по установленной схеме. Процедура включает последовательные этапы:

  • формирование комиссии;
  • сбор сведений об используемых системах;
  • составление перечня инфраструктурных элементов;
  • анализ процессов внутри организации;
  • определение критически важных элементов.

После первичного анализа комиссия переходит к оценке показателей значимости. На этом этапе учитывается влияние возможных нарушений на работу субъекта.

Далее выполняется присвоение категории. Возможны три уровня:

  • первая категория — максимальная значимость;
  • вторая категория — средний уровень;
  • третья категория — минимальный уровень.

Если объект не соответствует установленным критериям, категория не присваивается. В таком случае оформляется соответствующий акт.

Особенности определения категории и уровень защиты

Итоговая категория напрямую влияет на требования к безопасности. Чем выше значимость инфраструктурного элемента, тем более строгие меры защиты должны применяться.

Дополнительные требования к защите устанавливаются нормативными документами, включая приказы ФСТЭК. В частности, используются положения приказа №239, который определяет меры защиты информации.

Если объект не достигает пороговых значений по установленным критериям, категория не присваивается. В таком случае комиссия фиксирует результат в акте, а объект подлежит учету без установления уровня значимости.

Оформление результатов, взаимодействие с регулятором

Результат категорирования фиксируется документально. Комиссия подготавливает акт, в котором отражаются обоснования принятого решения.

В состав документации входят:

  • акт категорирования;
  • описание объекта;
  • перечень используемых систем;
  • сведения о проведенной оценке;
  • план мероприятий по защите.

После подготовки документация направляется в ФСТЭК. Регулятор проверяет корректность процедуры, а также соответствие установленным требованиям.

Последствия за нарушение закона

Несоблюдение правил категорирования объектов критической информационной инфраструктуры влечет административную ответственность. Основание закреплено в нормах законодательства.

К нарушениям относятся:

  • отсутствие проведенного категорирования;
  • некорректное определение категории;
  • непредставление сведений регулятору;
  • нарушение порядка оформления документации.

За подобные действия предусмотрены штрафы в соответствии с положениями Кодекса об административных правонарушениях. Размер санкций зависит от характера нарушения, статуса субъекта.

Требования к субъектам и периодичность оценки

Субъект обязан проводить категорирование всех принадлежащих ему объектов. Основание владения может быть любым: собственность, аренда или иное законное право.

Если объект используется для управления оборудованием другого субъекта, при оценке учитываются предоставленные сведения. Это помогает корректно определить значимость.

Повторное категорирование выполняется регулярно. Согласно установленным правилам, процедура проводится не реже одного раза в пять лет. Дополнительно оценка требуется при изменении структуры или функций системы.

Соблюдение требований помогает поддерживать актуальный уровень защиты, соответствие нормативной базе.

Дополнительные услуги центра

Для получения нужной документации обращайтесь к экспертам центра. В рамках услуг центра эксперты предлагают:

  • проведение анализа угроз безопасности информации;
  • определение категории нарушителей;
  • оценка возможных последствий инцидентов;
  • сбор сведений об информационных системах, сетях и АСУ;
  • оформление протоколов комиссии;
  • формирование внутреннего перечня объектов.

Дополнительно востребованы услуги:

  • внедрение стандартов управления безопасностью;
  • сертификация средств защиты информации;
  • получение лицензии ФСТЭК;
  • оформление сертификатов ИСО.

Эксперты центра предоставят подробные консультации. Звоните!

Вопрос-ответ

Какие действия требуются, если элемент инфраструктуры не относится к значимым при категорировании?

Если по итогам анализа система не достигает установленных показателей значимости, присвоение категории не осуществляется. В таком случае комиссия фиксирует результат в акте с указанием обоснований принятого решения.

Далее элемент включается во внутренний перечень субъекта, после чего информация передается в ФСТЭК в установленном порядке. Несмотря на отсутствие категории, учет сохраняется, а комплект документации должен быть оформлен надлежащим образом.

При изменении характеристик, условий эксплуатации или значимых параметров проводится повторная процедура оценки. Для корректной подготовки документов и соблюдения требований допускается обращение в профильный центр.

Похожие статьи
Специальная проверка технических средств
Штрафы за недостоверное сертификацию и декларирование
Проведение специальной проверки
Задать вопрос специалисту
Марина Дудкина
Эксперт по сертификации
8 800 200 51 81
MAX
Telegram
WhatsApp
Заказать звонок

    Ваше имя*
    Ваш телефон*
    ×

    Мы используем файлы cookie для аналитики и улучшения работы сайта. Оставаясь здесь, вы даете согласие на обработку данных согласно Политике конфиденциальности