2. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ

2.1 Порядок категорирования объектов КИИ

Категорирование объектов КИИ осуществляется согласно постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:

• общероссийский классификатор видов экономической деятельности;
• лицензии и иные разрешительные документы на различные виды деятельности;
• уставы, положения организаций (госорганов);
• другие источники.

Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности.

Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

На рис.1 представлены этапы категорирования объектов СБО КИИ.

Категорирование проходит следующим образом:

1. Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
2. Определяются объекты КИИ, связанные с этими процессами.
3. Полученный перечень согласовывается со ФСТЭК в течение пяти дней.

Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.

При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.

Первая категория означает, что объект требует максимальной защиты.

Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:

1. по мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;
2. объект перестал соответствовать критериям значимости и показателям их значений;
3. субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме;
4. субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.
5. По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
6. Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.

Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гос. тайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.