FAQ КИИ – нет, это совсем не ругательство. Хотя скорее всего многие ИБ-специалисты, которые уже столкнулись с 187-ФЗ «О Безопасности КИИ» употребляют в ing-oвой форме с похожим созвучием и исключительно в качестве ругательства. В нашем случае все же FAQ или Frequently Asked Questions по вопросам выполнения требований 187-ФЗ «О безопасности КИИ» и 127 постановления Правительства РФ «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». Мы будем периодически пополнять новыми вопросами и следить за актуальностью ответов. Поэтому добавляйте в закладки и подписывайтесь на обновления от нашего сайта.
Что делать после определения статуса субъект КИИ?
После определения статуса КИИ необходимо:
1) Определить перечень процессов в организации;
2) По составленному перечню процессов в организации необходимо определить критические процессы;
3) Определить системы, обслуживающие критические процессы, и определить, являются ли они объектами КИИ;
4) Составить перечень объектов КИИ по установленной форме;
5) Утвердить и в течение пяти дней отправить перечень объектов КИИ в ФСТЭК;
6) Определить последствия от компьютерных атак;
7) Провести категорирование;
8) По результатам проведения работ по категорированию, отправить сведения о результатах категорирования в ФСТЭК.
Какие процессы считаются критическими?
Для определения перечня критических процессов необходимо определить тип процесса:
- управленческий;
- технологический;
- производственный;
- финансово-экономический;
- иной.
Далее, основываясь на процессах, входящих в один из четырех выше представленных типов, выбираются процессы, нарушение или прекращение которых может привести к хотя бы одному из последствий:
- социальному;
- экономическому;
- экологическому;
- политическому;
- негативному последствию для обеспечения обороны страны, безопасности государства и правопорядка.
Если нарушение и (или) прекращение процесса может привести к негативным последствиям, то такие процессы являются критическими.
Как определить перечень объектов КИИ?
Для определения перечня объектов КИИ необходимо ответить на следующие вопросы:
- система обрабатывает информацию, необходимую для обеспечения критического процесса?
- система осуществляет управление критического процесса?
- система осуществляет контроль критического процесса?
- система осуществляет мониторинг критического процесса?
Если по результатам определения выявлено, что система выполняет хотя бы одно из требований, то данная система является Объектом КИИ.
Если система не выполняет ни одно из требований, то система не является Объектом КИИ.
Согласно ГОСТ Р 51275-99, обработка информации это – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Трудно представить систему, которая обеспечивает критический процесс, но не обрабатывает информацию, необходимую для обеспечения критического процесса, поэтому все системы скорее всего войдут в перечень объектов.
Мы знаем на сколько сложный процесс выполнения требований 187-ФЗ «О безопасности КИИ», поэтому всегда готовы БЕСПЛАТНО проконсультировать вас по вопросам проведения работ. Для получения консультации, отправьте запрос, и мы вам поможем. |
БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ |
Как выглядит форма перечня объектов КИИ, направляемая в ФСТЭК?
После того, как сформирован перечень объектов КИИ, его необходимо утвердить генеральным директором, и отправить в ФСТЭК на согласование не позднее, чем 5 дней после подписания генеральным директором.
Форма перечня объектов КИИ, направляемая в ФСТЭК регламентирована Информационным сообщением ФСТЭК от 24 августа 2018 г. N 240/25/3752
Как определить последствия каждой системы в результате компьютерного инцидента?
Для определения последствий в результате компьютерного инцидента, необходимо использовать Постановление Правительства №127 от 08.02.2018 (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Как провести категорирование?
Основываясь на последствиях каждому объекту присваивается категория, которые описываются в Постановлении Правительства №127 от 08.02.2018 (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Рекомендуем ознакомиться с нашим обзором проекта постановления о внесении дополнений в Постановление Правительства №127 от 08.02.2018 г.Посмотреть обзор
Какие сведения направляются в ФСТЭК по результатам проведения категорирования?
В ФСТЭК направляются сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Перечень сведений регламентирован Приказом ФСТЭК от 22 декабря 2017 г. N 236.