Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ

После проведенных работ по категорированию, когда вы стали счастливым обладателем реестра объектов КИИ своего предприятия, перед вами образовался новый квест – вы должны определиться с мерами по защите объектов КИИ и реализовать их.

Применение мер по защите необходимо как для значимых, так и не значимых объектов КИИ.

Объем технических и организационных мер, как и стоимость мер по защите объектов КИИ, зависит от категории значимости объекта: от внедрения организационных мер для незначимых объектов КИИ до значительной модернизации системы защиты информации для значимых объектов КИИ.

Ниже рассмотрим реализацию требований к безопасности для значимых объектов КИИ (имеющих ту или иную категорию значимости) и незначимых объектов КИИ (не имеющих категорию значимости).

Субъект КИИ со значимыми объектами КИИ

Для своевременной реализация требований по обеспечению безопасности значимых объектов КИИ, необходимо привлечение значительных финансовых и трудовых ресурсов, которыми не всегда обладают предприятия. По этой причине, субъектам КИИ, необходимо заранее запускать процессы бюджетирования для выделения средств на реализацию требований законодательства в установленные сроки.

Для определения стоимости мы используем 2 метода:

• предварительная оценка стоимости построения (модернизации) системы защиты объектов КИИ;
• проектирование системы защиты объектов КИИ.

Экспресс-оценка стоимости модернизации системы защиты объектов КИИ

Предварительная оценка стоимости реализации мер защиты объектов КИИ, которую мы проводим бесплатно для наших заказчиков, используется для экспресс-оценки стоимости модернизации системы защиты объектов КИИ. Результаты такой оценки носят ориентировочных характер, но с этими результатами можно (и нужно) запускать внутри Вашей организации процессы бюджетирования и выделения средств на модернизацию системы защиты объектов КИИ. 

В рамках предварительной оценки мы удаленно собираем исходные данные методами интервьюирования и направлением опросных листов. По результату экспресс-оценки стоимости реализации мер защиты объектов КИИ Вы получаете:

• спецификацию средств защиты информации с указанием стоимостных параметров;
• стоимость пусконаладочных работ;
• стоимость разработки организационно-распределительной документации.

Проектирование системы защиты объектов КИИ

Для точного формирования спецификации средств защиты информации, ведомости объемов работ, порядка внедрения мер защиты информации, определения режимов и настроек работы оборудования, а также разработки сметной документации, учитывая существующие средства защиты и ИТ-инфраструктуры, необходимо разработать техно-рабочий проект на создание (модернизации) системы защиты объектов КИИ. В результате вы получаете технорабочий проект, согласованный со всеми заинтересованными сторонами. Состав проектной документации определяется в индивидуальном порядке.

Субъект КИИ без значимых объектов КИИ

Субъекту КИИ без значимых объектов необходимо скорректировать существующие организационно-распорядительные документы по требованиям п.2 ст.9 ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» дополнив требованиями:

• к процессам;
• к персоналу.

При корректировке организационно распределительной документации Вам необходимо учесть следующие требования к процессам:

• выявление компьютерных инцидентов;
• актуализация перечня объектов КИИ, а также направить актуальный перечень в ФСТЭК;
• актуализация сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий, а также направление сведений о результатах категорирования в ФСТЭК.

При корректировке ОРД необходимо учесть следующие требования к персоналу субъекта КИИ: