Категорирование объектов критической информационной инфраструктуры

Категорирование объектов критической информационной инфраструктуры (КИИ) — процедура присвоения уровня значимости ИС, автоматизированным системам управления и сетям связи согласно 187-ФЗ. Результат определяет требования к безопасности и состав защитных мер для конкретного объекта.

Закон обязывает организации из 12 отраслей экономики проводить категорирование в установленные сроки. Нарушение правил грозит штрафами до 500 000 рублей для юридических лиц и административной ответственностью для должностных лиц.

ООО «ПНК» выполняет категорирование объектов КИИ с 2018 года. Лицензии ФСТЭК и ФСБ России подтверждают право проводить работы для субъектов критической информационной инфраструктуры любой отрасли.

Цели категорирования в системе безопасности

Процедура выполняется для решения следующих задач:

• Выявление объектов, нарушение работы которых приводит к негативным последствиям для населения, экономики, обороны или безопасности страны.
• Определение требуемого уровня защиты на основе критериев социального, политического, экономического, экологического воздействия и последствий для обороны государства.
• Формирование перечня объектов КИИ для государственного контроля их безопасности со стороны ФСТЭК России.
• Установление соответствия между категорией значимости и составом защитных мер согласно постановлению Правительства № 127 от 08.02.2018.
• Распределение приоритетов финансирования защитных мероприятий в зависимости от значения объекта для непрерывности работы критической инфраструктуры.

Субъекты и объекты критической информационной инфраструктуры

187-ФЗ от 26.07.2017 определяет субъекты КИИ как организации, функционирующие в 12 отраслях экономики:

• Здравоохранение — медицинские учреждения и фармацевтические компании.
• Наука — исследовательские институты и образовательные организации высшего образования.
• Транспорт — операторы железнодорожного, воздушного, водного и автомобильного сообщения.
• Связь — операторы связи и операторы технологической сети связи.
• Энергетика — электростанции, сети передачи электроэнергии, нефте- и газодобывающие компании.
• Банковская сфера и финансовый рынок — кредитные организации, биржи, клиринговые центры.
• Топливно-энергетический комплекс — производство, транспортировка и хранение нефти, газа, угля.
• Атомная энергия — предприятия ядерного топливного цикла и атомные станции.
• Оборонная промышленность — производители вооружения и военной техники.
• Ракетно-космическая промышленность — разработчики и операторы космических аппаратов.
• Горнодобывающая промышленность — добыча и переработка полезных ископаемых.
• Металлургия и химическая промышленность — производство металлов и химических веществ.

Этапы процедуры

Субъект КИИ выполняет категорирование самостоятельно с последующим направлением результатов в ФСТЭК России. Процесс включает следующие этапы:

1. Выявление объектов, подлежащих категорированию — анализ информационных систем и АСУ ТП организации на предмет их использования для выполнения функций в отрасли критической инфраструктуры.
2. Оценка по критериям значимости — определение возможных социальных, политических, экономических, экологических последствий и влияния на оборону при нарушении функционирования объекта.
3. Расчет показателей по каждому критерию согласно постановлению № 2123 — количественная оценка масштаба последствий для присвоения одной из трех категорий или вывода объекта за рамки КИИ.
4. Оформление документации — подготовка акта категорирования с обоснованием присвоенной категории на основании выполненных расчетов и анализа критериев.
5. Направление сведений во ФСТЭК России — подача акта категорирования через единую систему межведомственного электронного взаимодействия для проверки соответствия правилам.

Комиссия рассматривает представленные материалы и принимает решение о согласии с присвоенной категорией или об отклонении результатов категорирования.

Сроки категорирования и участие ФСТЭК в процедуре

Постановление Правительства № 127 устанавливает временные рамки для выполнения работ:

• Субъект КИИ проводит категорирование в течение 30 календарных дней с момента создания нового объекта или изменения функциональных характеристик существующего.
• ФСТЭК России рассматривает направленные материалы в течение 45 рабочих дней с даты поступления акта категорирования и сопроводительных документов.
• При выявлении несоответствий регулятор направляет мотивированный отказ с указанием правил, которые были нарушены при определении категории значимости.
• Организация обязана устранить замечания и повторно направить материалы категорирования с учетом требований ФСТЭК.

После получения положительного решения от ФСТЭК объект включается в реестр значимых объектов КИИ. Субъект обязан обеспечить защиту объекта в соответствии с требованиями для присвоенной категории согласно приказу ФСТЭК № 239 от 25.12.2017.

Услуги по категорированию объектов КИИ

ООО «ПНК» выполняет полный комплекс работ по определению категории значимости для субъектов критической информационной инфраструктуры. Специалисты проводят анализ объектов, оценку по критериям, оформление актов и взаимодействие с ФСТЭК до получения положительного результата.

Компания работает на основании лицензий ФСТЭК и ФСБ России, что дает право предоставлять услуги субъектам КИИ всех отраслей. Специалисты владеют методиками расчета показателей по постановлению № 2123 и готовят документацию с учетом требований регулятора. Опыт успешного прохождения проверок ФСТЭК минимизирует вероятность отказов и повторных доработок материалов категорирования.

Обратитесь в ООО «ПНК» для проведения категорирования объектов критической информационной инфраструктуры вашей организации. Получите документальное подтверждение соответствия требованиям 187-ФЗ и сведите к минимуму риски административных санкций.