Категорирование объектов критической информационной инфраструктуры (КИИ) применяется для того, чтобы определить реальную важность цифрового ресурса для работы предприятия, отрасли, государства. Такая проверка нужна не ради формальности. Ее задача — показать, насколько опасным будет сбой для производства, управления, связи, обработки сведений, устойчивости ключевых процессов.
Чем выше зависимость от конкретного ресурса, тем строже требования к его защите. Процедура помогает не просто зафиксировать статус, а выбрать адекватный набор мер безопасности. Один объект требует базового контроля, другой — усиленной защиты, отдельного режима доступа, более жесткого надзора.
Основанием для проведения работ служит Федеральный закон №187. ФЗ посвящен безопасности критической информационной инфраструктуры РФ. Дополнительно учитывается Постановление Правительства Российской Федерации №127. Именно этот акт устанавливает:
-
правила категорирования объектов КИИ;
-
перечень показателей для определения значимости.
После завершения анализа становится понятно, какая категория должна быть присвоена, какой уровень защиты нужен, какие документы придется подготовить, какие сведения направляются регулятору. За счет этого снижается риск формального подхода, когда одинаковые меры пытаются применять ко всем ресурсам без учета их роли в общей инфраструктуре.
Суть оценки значимости, цели проведения
Смысл оценки состоит в том, чтобы установить значение конкретного элемента для устойчивой работы организации. В расчет берется не только сам факт возможного отказа, но также масштаб последствий. Рассматривается, приведет ли нарушение к остановке процессов, затронет ли пользователей, повлияет ли на связь между узлами, создаст ли угрозу для безопасности.
При анализе учитываются несколько задач:
-
определить, какие ресурсы действительно важны для деятельности;
-
выделить критически значимые участки цифровой среды;
-
сформировать перечень для дальнейшей работы;
-
провести присвоение нужного уровня;
-
подтвердить соответствие установленным требованиям.
Порядок категорирования объектов критической информационной инфраструктуры опирается на показатели значимости. За счет этого вывод делается не интуитивно, а по формальным критериям. Такой подход уменьшает риск ошибки, помогает обосновать итог, упрощает проверку со стороны ФСТЭК.
Кроме того, процедура полезна самой организации. После нее становится понятнее структура цифровой среды, зависимость между ресурсами, слабые места, точки повышенного риска. Это позволяет заранее увидеть проблемные зоны, а не ждать инцидента.
Какие ресурсы относятся к КИИ и кто считается субъектом
К КИИ относят решения, которые обеспечивают обработку, передачу либо управление данными. Речь идет не о любой цифровой среде, а о той, от которой зависит стабильность процессов.
В состав входят:
-
информационные системы, предназначенные для хранения, обработки сведений;
-
информационно-телекоммуникационные сети, обеспечивающие связь между элементами;
-
автоматизированные системы управления, применяемые для контроля технологических операций.
Каждый из указанных типов выполняет собственную функцию. Один ресурс отвечает за данные, другой — за передачу, третий — за управление оборудованием. При этом в реальной инфраструктуре они тесно связаны, что важно учитывать при анализе.
Оценка проводится отдельно по каждому элементу. Даже внутри одной организации может использоваться несколько решений с разным уровнем влияния на процессы. Объединять их в одну категорию нельзя, поскольку последствия отказа будут различаться.
Субъектом КИИ признается организация, использующая такие ресурсы на законных основаниях. Компании работают в отраслях:
-
здравоохранение, научная деятельность;
-
финансовый сектор, банковская сфера;
-
транспорт, связь;
-
оборонная промышленность, космическая отрасль;
-
энергетика, металлургия, добыча, химическое производство.
На практике внутри одного предприятия может функционировать сразу несколько решений. Например, база данных применяется для учета, а управление оборудованием выполняется через автоматизированную систему. Несмотря на связь, оценка проводится раздельно, так как значение для процессов отличается.
Отдельная ситуация возникает при управлении оборудованием другого субъекта. В таком случае анализ выполняется на основании исходных данных, которые предоставляет владелец оборудования. Такой подход позволяет корректно определить влияние ресурса, исключить ошибки при присвоении категории.
Дополнительно учитывается характер взаимодействия между элементами. Один компонент может не выглядеть критичным отдельно, однако в связке с другими ресурсами оказывает значительное влияние на деятельность. Поэтому анализ проводится с учетом всей инфраструктуры, а не отдельных частей.
Критерии оценки и порядок присвоения категории
Оценка выполняется на основе установленных критериев, которые позволяют определить последствия возможных нарушений. Правила категорирования объектов критической информационной инфраструктуры задают единый подход. Правила исключают субъективное решение.
При анализе учитываются следующие направления:
-
социальный фактор — влияние на население, доступность услуг;
-
экономический — возможные убытки, финансовые потери;
-
политический — влияние на работу органов власти;
-
экологический — последствия для окружающей среды;
-
значение для обороны, безопасности государства, правопорядка.
Каждое направление включает набор конкретных показателей с установленными пороговыми значениями. Итог зависит от того, насколько последствия отклоняются от допустимых границ.
Порядок категорирования объектов критической информационной инфраструктуры предполагает сопоставление полученных данных с установленными уровнями. На основании анализа принимается решение о присвоении статуса.
Выделяют три уровня категорий:
-
первая — максимальное влияние, повышенные требования к защите;
-
вторая — средний уровень;
-
третья — минимальное влияние на процессы.
Если показатели не достигают установленных значений, категория не присваивается. Результат фиксируется документально, используется при последующих проверках.
Полученный статус влияет на требования к защите. Чем выше уровень, тем строже условия: усиливается контроль доступа, применяются дополнительные меры защиты информации, вводятся более жесткие правила эксплуатации.
Учитывают не только отдельный ресурс, но также его связь с другими элементами. Иногда второстепенный компонент в связке с ключевыми системами приобретает критическое значение. Поэтому анализ проводится с учетом всей инфраструктуры.
Этапы проведения категорирования
Порядок процедуры включает несколько последовательных стадий. Каждая из них направлена на получение достоверного вывода, снижение риска ошибок при оценке.
Подготовительный этап:
-
формируется комиссия по категорированию;
-
определяется перечень ресурсов;
-
собираются сведения о системах, сетях
-
анализируется структура инфраструктуры.
На этой стадии важно учесть все элементы, участвующие в обработке информации. Пропуск даже одного ресурса может исказить итоговый вывод.
Основной этап:
-
определяются критически важные функции;
-
выполняется анализ показателей значимости;
-
оцениваются последствия возможных нарушений;
-
проводится сопоставление с установленными критериями.
Комиссия исключает второстепенные элементы, оставляет только те ресурсы, без которых невозможна нормальная деятельность организации. Такой подход повышает точность оценки.
Заключительный этап:
-
осуществляется присвоение категории;
-
оформляется акт категорирования
-
подготавливается комплект документации;
-
сведения направляются в ФСТЭК России.
Последовательность действий закреплена нормативными актами, обязательна для всех субъектов КИИ.
Комиссия и оформление результатов
Проведение категорирования выполняется специально созданной группой. Состав утверждается внутренним распорядительным актом организации.
В задачи комиссии входит:
-
анализ элементов инфраструктуры;
-
определение их роли в процессах;
-
оценка критериев;
-
принятие решения о присвоении категории.
Итоги фиксируются в акте категорирования. В документе отражается обоснование выбранного уровня, приводится описание проведённого анализа.
В комплект материалов включаются:
-
акт категорирования;
-
перечень элементов КИИ;
-
данные о применяемых решениях, сетях;
-
протокол заседания;
-
описание используемых критериев;
-
план мер по защите.
Подготовленные материалы направляются в Федеральную службу по техническому, экспортному контролю (ФСТЭК). Регулятор проверяет корректность оценки, при необходимости запрашивает уточнения.
Качество оформления имеет практическое значение. Неточности, расхождения в сведениях приводят к пересмотру результата либо повторному проведению процедуры.
Особенности категорирования и ответственность субъектов
Процедура имеет особенности с учетом от отраслевой специфики. Различия обусловлены характером процессов, используемых систем и уровнем влияния на инфраструктуру.
В промышленности значение имеют автоматизированные системы управления, обеспечивающие контроль оборудования. В финансовой сфере ключевую роль играют информационные системы обработки данных. В транспортной отрасли внимание уделяется сетям связи, диспетчерским системам.
При этом общие правила остаются едиными для всех субъектов. Каждая организация обязана провести категорирование принадлежащих ей элементов, независимо от масштаба деятельности.
Субъекты КИИ обязаны:
-
обеспечить присвоение категории;
-
учитывать используемые ресурсы на законных основаниях;
-
передавать данные регулятору;
-
поддерживать актуальность информации.
Если ресурс применяется для управления оборудованием другого субъекта, оценка выполняется с учетом предоставленных исходных данных.
Контроль за соблюдением требований осуществляет ФСТЭК России. Ведомство проверяет документацию, формирует рекомендации и ведет реестр субъектов.
Нарушение установленного порядка влечет ответственность. Возможны административные штрафы по действующему законодательству РФ, включая нормы Кодекса об административных правонарушениях.
Оставьте заявку. Менеджер центра предоставит подробную консультацию.
