2. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ
2.1 Порядок категорирования объектов КИИ
Категорирование объектов КИИ осуществляется согласно постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
К субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели. Сведения о том, является ли организация субъектом КИИ, можно получить в следующих источниках:
- общероссийский классификатор видов экономической деятельности;
- лицензии и иные разрешительные документы на различные виды деятельности;
- уставы, положения организаций (госорганов);
- другие источники.
Объектами КИИ могут являться: ИС, ИТКС и АСУ, функционирующие в 12 сферах деятельности.
Субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.
На рис.1 представлены этапы категорирования объектов СБО КИИ.
Категорирование проходит следующим образом:
- Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
- Определяются объекты КИИ, связанные с этими процессами.
- Полученный перечень согласовывается со ФСТЭК в течение пяти дней.
Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
Первая категория означает, что объект требует максимальной защиты.
Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:
- по мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;
- объект перестал соответствовать критериям значимости и показателям их значений;
- субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме;
- субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.
- По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
- Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.
Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гос. тайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.