Инвентаризация и категорирование объектов КИИ

С 21.02.2018 года вступило в силу Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Объектами критической информационной инфраструктуры (КИИ) являются информационные системы, сети связи и АСУ ТП, эксплуатируемые государственными организациями и предприятиями следующих отраслей: 

  • связь и телекоммуникации
  • транспорт
  • ТЭК
  • энергетика
  • оборонная промышленность
  • ракетно-космическая отрасль
  • горнодобывающая промышленность
  • металлургическая промышленность
  • химическая промышленность
  • финансовые организации
  • здравоохранение
  • наука

В обязанность субъектам КИИ вменено самостоятельное категорирование принадлежащих им объектов в зависимости от масштаба возможных последствий объекту КИИ. Для реализации прав и обязанностей организации-субъекта критической информационной инфраструктуры (КИИ), в том числе для уведомления ФСТЭК России о результатах категорирования, необходимо осуществить ряд последовательных мероприятий, в том числе, - провести инвентаризацию имеющихся в организации ИТ-активов. При этом практически каждая организация при проведении инвентаризации своей инфраструктуры ИТ и сетей связи сталкивается с типичными проблемами, обусловленными:  

  • отсутствием в организации актуальных инвентаризационных данных по эксплуатируемым информационным системам и системам связи,
  • неполнотой, неактуальностью  или отсутствием данных о поддержке объектами информационной инфраструктуры имеющихся в организации процессов,
  • отсутствием «единственной точки входа» по всем объектами информационной инфраструктуры (десятки и даже сотни специалистов вовлечены в обеспечение работоспособности объектов информационной инфраструктуры).

Располагая соответствующим опытом и проработанной методологией, НТЦ "Вулкан" готов профессионально и оперативно выполнить в интересах Заказчика комплекс работ по проведению инвентаризации объектов КИИ и подготовить обоснования для категорирования объектов КИИ в целях предоставления Заказчиком сведений о категориях объектов во ФСТЭК России.

Состав работ

В ходе выполнения проекта инвентаризации объектов КИИ специалистами НТЦ «Вулкан»  производятся следующие работы: 

  • обследование потенциальных объектов КИИ Заказчика,
  • идентификация процессов (управленческих, технологических, производственных, финансово-экономических и т.д.), выявление критических процессов,
  • определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов,
  • оценка возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры Заказчика,
  • описание идентифицированных объектов КИИ, включая их взаимодействие с другими объектами КИИ и сетями электросвязи,
  • подготовка предложений и обоснований по категорированию объектов КИИ нфраструктуры Организации с учетом положений федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ и Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127. 

Обследование объектов может производиться как с выездом на территорию организации-заказчика, так и удаленно с использованием электронной почты, системы конференцсвязи, телефонной связи и пр.

По результатам проекта Заказчику передаются следующие документы: 

  • Отчет по результатам идентификации объектов критической информационной инфраструктуры организации-заказчика,
  • Отчет "Перечень объектов критической информационной инфраструктуры" организации-заказчика.

    НТЦ «Вулкан» обеспечивает выполнение работ с учетом специфики и требований конкретной организации, а также оказывает консультационное сопровождение на всех этапах взаимодействия с ФСТЭК России.

Преимущества

    Выполнение проекта проведения инвентаризации и категорирования объектов критической информационной инфраструктуры силами НТЦ "Вулкан" позволит Вашей организации: 

  • Обеспечить реализацию требований положений 187-ФЗ.
  • Сформировать документарную основу для реализации прав и обязанностей Вашей организации, как субъекта КИИ.
  • Сформировать план объективно необходимых мероприятий и проектов, приоритизировать мероприятия, требующиеся для обеспечения безопасности критической информационной инфраструктуры Вашей организации.
  • Определить и обосновать бюджет затрат на реализацию требуемых мероприятий обеспечения безопасности критической информационной инфраструктуры и соответствия требованиям законодательства РФ, существенно оптимизировать затраты на реализацию требуемых мероприятий