КИИ. Категорирование объектов, часть 1
Давайте будем проводить
категорирование объекта КИИ на примере организации сферы здравоохранения.
Будем руководствоваться
следующими НПА:
·
Федеральный закон от 26.07.2017 N 187-ФЗ "О
безопасности критической информационной инфраструктуры Российской
Федерации"
·
Постановление Правительства РФ от 8 февраля 2018
г. № 127 “Об утверждении Правил категорирования объектов критической
информационной инфраструктуры Российской Федерации, а также перечня показателей
критериев значимости объектов критической информационной инфраструктуры
Российской Федерации и их значений”
·
Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об
утверждении порядка ведения реестра значимых объектов критической
информационной инфраструктуры Российской Федерации"
·
Приказ ФСТЭК России от 22.12.2017 N 236 "Об
утверждении формы направления сведений о результатах присвоения объекту
критической информационной инфраструктуры одной из категорий значимости либо об
отсутствии необходимости присвоения ему одной из таких категорий"
Общая схема категорирования
примерно следующая:
Давайте подробнее разберем начальные
этапы.
0. Формирование комиссии.
Очевидно, что чем больше специалистов
мы включим в комиссию, тем на больший срок затянется наше категорирование. С
другой стороны без специалистов по основным видам деятельности безопаснику
будет сложно определить критические процессы и оценить последствия их
нарушения.
В случае медицинской организации включить
главного врача и его заместителей по мед. деятельности, ответственного за ИБ,
ответственного за ГОиЧС. Также можно попробовать договориться с местным
Минздравом, МИАЦ (это обеспечит быстрое согласование перечня объектов), а также
с организацией оказывающих вашей организации услуги в области ИБ, о включении
их сотрудников. Договорится можно в устной форме, но потом лучше отправить
официальное письмо данным организациям с просьбой предоставить эксперта для
участия в категорировании объектов КИИ.
Создание комиссии необходимо
документировать. Вероятнее всего это будет приказ о создании комиссии для
категорирования объектов КИИ в такой то организации. Там могут быть определены
конкретные этапы и сроки, но не обязательно. Полный цикл категорирования,
скорее всего, займет значительное время, поэтому лучше сразу определить, как
будут фиксироваться промежуточные решения комиссии: протокол, акт...
1. Определение процессов
В идеальном случае, в вашей
организации уже документированы основные процессы. Либо Вы, как правильный ИБ
специалист, определили их в начале своей работы в организации. Если нет, самое
время наверстать упущенное:
·
изучаем учредительные документы организации –
определяем функции (полномочия) или виды деятельности организации
·
вооружаемся блокнотом или электронными анкетами
и идем общаться с руководителями всех подразделений – какие процессы, существуют процессы в рамках
функций или видов деятельности организации?
На примере медицинской организации получаем примерно
следующий перечень процессов. При этом учитываем, что дробление на подпроцессы –
увеличивает трудоемкость дальнейшего анализа, но в ряде случаев позволяет
оптимизировать результаты категорирования (сделать их более точными).
PS: продолжение следует.
Комментарии
Тема ваша очень актуальна и открыта. Будут ли у Вас продолжения и дополнения по КИИ? Или если связаться Вами по телефону или по эл. почте.
Дело в том, я работаю в здравоохранении, бюджетная организация. и у нас необходимо определить категорию КИИ, согласно требованиям ФСТЭК. Информационная безопасность у нас работает, все меры учтены.
В вашем блоге более доступно и понятно на простом языке.
Спасибо! Надеюсь получить у Вас дополнительную информацию!
мои данные:
8 923 178 71 08
pavlov.v.pavel@mail.ru