sysadmin-pro.ru
Данным материалом мы хотим начать серию публикаций по организации работ связанных с выполнением требований 187-ФЗ «О безопасности критической информационной инфраструктуры». Будет как обычно, кратко и по существу!
Предлагаем сэкономить Ваше время и предложить информационный материал согласно вашего интереса!
Для это выберите одно из ниже приведенных определений:
| Я не знаю, что такое КИИ и 187-ФЗ | Есть предположение, что предприятие субъект КИИ | Я уверен, что предприятие субъект КИИ, но не знаю, что делать дальше |
Стандартная схема категорирования объектов КИИ обсуждалась неоднократно. Обычно выделяются следующие этапы:
1. Формирование комиссии по категорированию объектов КИИ.
2. Определение процессов субъекта.
3. Выявление критических процессов.
4. Определение перечня объектов КИИ.
5. Утверждение перечня объектов КИИ.
6. Отправка перечня объектов во ФСТЭК.
7. Сбор исходных данных для категорирования.
8. Анализ нарушителя и угроз безопасности.
9. Оценка возможных последствий от компьютерных инцидентов.
10. Категорирование объектов КИИ.
11. Отправка сведений о категорировании во ФСТЭК.
Данный порядок определён законодательством РФ и устанавливает сроки категорирования для субъектов КИИ.
Перечень объектов КИИ после утверждения комиссией необходимо в течении пяти дней отправить в федеральный орган исполнительной власти ФСТЭК. Субъект КИИ по результатам анализа исходных данных может принять решение по уточнению перечня, оптимизации или выводу из эксплуатации объектов КИИ которые не используются для выполнения функций или осуществления видов деятельности субъектом. К составлению перечня необходимо привлекать работников выполняющие функции в области информационных технологий и связи, эксплуатации технологического оборудования, информационной безопасности, работников подразделений по защите государственной тайны, гражданской обороны и чрезвычайных ситуаций. Данный состав комиссии обеспечить подготовку наиболее точного перечня объектов КИИ и критичных бизнес процессов субъекта.
Наш опыт и практика показала, что лучше выполнить весь объем работ по определению перечня объектов, сбору исходных данных, анализу угроз, определению возможных последствий от компьютерных инцидентов и после этого проводить описанные в законодательстве формальные процедуры категорирования.
Поэтому следует начать категорирование именно с составления перечня, а определив его, начать собирать исходные данные, периодически возвращаясь к перечню для проверки на полноту или избыточность.
Таким образом, более предпочтительным на практике порядок будет выглядеть следующим образом:
1. Определение управленческих, технологических, производственных, финансово-экономических или иных процессов в рамках выполнения функций субъекта.
2. Выявление критических процессов, которые могут привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
3. Определение перечня объектов КИИ, которые обрабатывают информацию необходимую для обеспечения критичных процессов.
4. Сбор исходных данных для категорирования.
5. Анализ нарушителя и угроз безопасности.
6. Оценка возможных последствий от компьютерных инцидентов.
7. Формирование комиссии по категорированию объектов КИИ.
8. Утверждение перечня объектов КИИ.
9. Отправка перечня объектов во ФСТЭК.
10. Категорирование объектов КИИ.
11. Отправка сведений о категорировании во ФСТЭК.
В дальнейшем рассмотрим подробнее каждый этап с точки зрения вопросов и сложностей, которые могут возникнуть при организации работ связанных с выполнением требований 187-ФЗ «О безопасности критической информационной инфраструктуры», а также общие вопросы, которые могут возникнуть при проведении работ по категорированию.
Если у вас есть вопросы по теме, задавайте в комментариях, мы непременно на них ответим!
Материалы по теме:
- БЕЗОПАСНОСТЬ КИИ: КОРОТКО О ГЛАВНОМ
- СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187
Читайте также:
