КИИ. Категорирование объектов, часть 1


Давайте будем проводить категорирование объекта КИИ на примере организации сферы здравоохранения.

Будем руководствоваться следующими НПА:
·        Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
·        Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
·        Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"
·        Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

Общая схема категорирования примерно следующая:



Давайте подробнее разберем начальные этапы.

0. Формирование комиссии.
Очевидно, что чем больше специалистов мы включим в комиссию, тем на больший срок затянется наше категорирование. С другой стороны без специалистов по основным видам деятельности безопаснику будет сложно определить критические процессы и оценить последствия их нарушения.
В случае медицинской организации включить главного врача и его заместителей по мед. деятельности, ответственного за ИБ, ответственного за ГОиЧС. Также можно попробовать договориться с местным Минздравом, МИАЦ (это обеспечит быстрое согласование перечня объектов), а также с организацией оказывающих вашей организации услуги в области ИБ, о включении их сотрудников. Договорится можно в устной форме, но потом лучше отправить официальное письмо данным организациям с просьбой предоставить эксперта для участия в категорировании объектов КИИ.
Создание комиссии необходимо документировать. Вероятнее всего это будет приказ о создании комиссии для категорирования объектов КИИ в такой то организации. Там могут быть определены конкретные этапы и сроки, но не обязательно. Полный цикл категорирования, скорее всего, займет значительное время, поэтому лучше сразу определить, как будут фиксироваться промежуточные решения комиссии: протокол, акт...

1. Определение процессов
В идеальном случае, в вашей организации уже документированы основные процессы. Либо Вы, как правильный ИБ специалист, определили их в начале своей работы в организации. Если нет, самое время наверстать упущенное:
·        изучаем учредительные документы организации – определяем функции (полномочия) или виды деятельности организации
·        вооружаемся блокнотом или электронными анкетами и идем общаться с руководителями всех подразделений –  какие процессы, существуют процессы в рамках функций или видов деятельности организации?

На примере медицинской организации получаем примерно следующий перечень процессов. При этом учитываем, что дробление на подпроцессы – увеличивает трудоемкость дальнейшего анализа, но в ряде случаев позволяет оптимизировать результаты категорирования (сделать их более точными).  



PS: продолжение следует.  


Комментарии

Unknown написал(а)…
Сергей, здравствуйте!

Тема ваша очень актуальна и открыта. Будут ли у Вас продолжения и дополнения по КИИ? Или если связаться Вами по телефону или по эл. почте.

Дело в том, я работаю в здравоохранении, бюджетная организация. и у нас необходимо определить категорию КИИ, согласно требованиям ФСТЭК. Информационная безопасность у нас работает, все меры учтены.

В вашем блоге более доступно и понятно на простом языке.

Спасибо! Надеюсь получить у Вас дополнительную информацию!

мои данные:
8 923 178 71 08
pavlov.v.pavel@mail.ru

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации