Категорирование объектов КИИ

В соответствии с 187-ФЗ, категорирование обязаны проводить субъекты КИИ — государственные органы, учреждения, российские юридические лица и индивидуальные предприниматели, у которых есть объекты КИИ, функционирующие в установленных отраслях.

Отрасли, подпадающие под обязательное категорирование:

1. Здравоохранение;
2. Наука;
3. Транспорт (воздушный, автомобильный, городской наземный электрический, железнодорожный, морской и речной, внеуличный, метрополитен)
4. Связь;
5. Энергетика;
6. Государственная регистрация прав на недвижимое имущество и сделок с ним;
7. Банковская сфера и иные сферы финансового рынка;
8. Топливно-энергетический комплекс;
9. Атомная энергия;
10. Оборонная промышленность;
11. Ракетно-космическая промышленность;
12. Горнодобывающая промышленность;
13. Металлургическая промышленность;
14. Химическая промышленность.

Если ваша организация ведёт деятельность в одной из этих сфер и использует информационные системы, ИТКС или АСУ, — категорирование обязательно.

Категорирование объектов критической информационной инфраструктуры (КИИ) — это обязательная по закону процедура, которая помогает понять, насколько важны для страны определённые компьютерные системы, сети или автоматизированные установки, используемые в ключевых сферах жизни. Проще говоря, государство требует от организаций, работающих в важных отраслях, оценить, что произойдёт, если их системы перестанут работать: пострадают ли люди, экономика, экология или безопасность страны.

Согласно закону № 187-ФЗ и Постановлению Правительства № 127, объекту присваивается категория значимости — первая, вторая или третья, в зависимости от того, насколько серьёзными будут последствия его выхода из строя. Если риски минимальны, категория не присваивается.

Категорирование обязаны проводить так называемые субъекты КИИ — это государственные органы, предприятия и даже индивидуальные предприниматели, которые работают в таких отраслях, как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная, оборонная, космическая, горнодобывающая, металлургическая и химическая промышленность.

Процедуру нужно проходить до запуска системы в работу, а также при изменении её характеристик, если это может повлиять на уровень значимости. Итог оформляется специальным актом и направляется в ФСТЭК России, где ведут реестр значимых объектов. Это нужно не только для выполнения закона, но и для защиты самой компании: правильно проведённое категорирование помогает снизить риски кибератак, сбоев и серьёзных потерь. Несоблюдение требований может привести к штрафам и другим санкциям.

Объект и субъект КИИ: ключевые определения:

• Объект КИИ — информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, используемая в критически важных процессах;
• Субъект КИИ — владелец или законный пользователь объекта КИИ (госорган, учреждение, юрлицо или ИП), деятельность которого относится к установленным отраслям.

Основные нормативные акты:

• Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» — определяет понятия, обязанности субъектов КИИ, порядок категорирования и требования к значимым объектам;
• Постановление Правительства РФ № 127 от 08.02.2018 — утверждает правила категорирования и перечень показателей критериев значимости объектов КИИ с пороговыми значениями;
• Федеральный закон № 58-ФЗ от 27.05.2003 «О системе государственной службы РФ» — регулирует статус государственных органов, которые также могут являться субъектами КИИ.

Критерии значимости и пороговые значения
Постановление № 127 выделяет пять критериев значимости объектов КИИ:

1. Социальная;
2. Политическая;
3. Экономическая;
4. Экологическая;
5. Оборона, безопасность и правопорядок.

Этапы категорирования
Задача категорирования — установить значимость информационных систем, сетей и автоматизированных систем управления, работающих в ключевых отраслях, и определить требования по их защите, процесс включает следующие этапы:

1. Инвентаризация объектов — организация формирует перечень всех ИС, ИТКС и АСУ, которые потенциально могут быть отнесены к объектам КИИ, включая вспомогательные системы, если их сбой способен вызвать серьёзные последствия;
2. Определение критически важных процессов — выявление функций, от которых зависят жизнь и здоровье людей, устойчивость экономики, экология, обороноспособность и безопасность государства;
3. Оценка значимости — расчёт показателей по пяти группам критериев: социальная, политическая, экономическая, экологическая значимость и значимость для обороны и правопорядка. Сравнение значений с порогами из ПП №127;
4. Присвоение категории — установление I, II или III категории по наивысшему результату среди всех применимых показателей, либо отсутствие категории, если значения ниже пороговых;
5. Оформление акта категорирования — документ с обоснованием и данными расчётов, который утверждается руководителем организации;
6. Передача сведений в ФСТЭК России — направление акта и информации об объекте для внесения значимых объектов в государственный реестр.

Эти шаги обязательны до ввода объекта в эксплуатацию, а также при изменении его характеристик, влияющих на показатели значимости. Корректное выполнение этапов не только обеспечивает соответствие закону, но и снижает риски киберинцидентов и экономических потерь.

Услуга по категорированию объектов КИИ) включает в себя:

Аудит ваших активов
Работа начинается с аудита ваших активов. Мы детально анализируем информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети и связанные с ними элементы. Цель аудита — понять, из каких компонентов состоят ваши объекты, какие функции они выполняют, в каких бизнес-процессах задействованы и какие последствия может иметь их сбой.

Определение категории значимости объекта в соответствии с новыми правилами
Далее наши специалисты проводят анализ заполненных форм и определяют категорию значимости объекта КИИ — I, II или III, либо подтверждают, что категория не присваивается. Этот этап сопровождается консультациями заказчика: мы разъясняем, почему присвоена именно такая категория, какие требования она накладывает и как это повлияет на последующую организацию защиты.

Заполнение необходимой документы для ФСТЭК
По итогам аудита мы совместно с заказчиком заполняем формы, установленные приказом ФСТЭК №236. Эти формы содержат сведения, необходимые для определения показателей значимости по критериям ПП №127: социальная, политическая, экономическая, экологическая значимость и значимость для обороны и безопасности. Мы помогаем корректно описать каждый параметр, чтобы избежать ошибок, которые могут привести к неверному определению категории или к претензиям со стороны проверяющих органов.

Формирование отчёта по аудиту ваших объектов КИИ с рекомендациями
После определения категории мы готовим отчёт по категорированию. В него входит описание проведённых работ, обоснование категории, анализ рисков и рекомендации по повышению уровня защищённости объекта в соответствии с нормативными требованиями.

Разработка ТЗ по защите объекта КИИ
Если заказчик подтверждает отчёт, мы переходим к заключительному этапу — разработке технического задания (ТЗ) на реализацию мер по защите объекта КИИ. В ТЗ подробно описываются технические и организационные мероприятия, которые необходимо внедрить для выполнения требований ФСТЭК и обеспечения надёжной защиты от киберугроз.

Реализация требований по защите КИИ
При необходимости мы также можем полностью закрыть задачу по внедрению средств защиты информации (СЗИ), настройке и пусконаладочным работам, сопровождению и эксплуатации систем.

Таким образом, мы берём на себя полный цикл категорирования КИИ: от инвентаризации и документирования активов до подготовки детального ТЗ, которое можно сразу передавать на этап реализации. Такой подход позволяет заказчику сэкономить время, минимизировать риски ошибок и получить готовое, юридически корректное решение, полностью соответствующее действующему законодательству.

Самостоятельное категорирование требует глубокого знания нормативных актов, методик расчёта показателей и опыта взаимодействия с ФСТЭК. Ошибки могут привести к штрафам, предписаниям и репутационным рискам.

Профессиональное сопровождение позволяет:

• Правильно интерпретировать критерии и показатели;
• Быстро собрать необходимые данные;
• Оформить документы в соответствии с требованиями проверяющих органов;
• Минимизировать время и затраты.

Если вашей организации предстоит категорирование объектов КИИ, мы обеспечим полный цикл работ — от анализа и расчёта показателей до передачи сведений в ФСТЭК, с гарантией соответствия требованиям 187-ФЗ и ПП № 127.