КИИ. Какие ГОСы попадают сферу КИИ?


Срок на категорирование объектов критической информационной инфраструктуры РФ скоро заканчивается ; )  а многие организации только сейчас начинают планировать мероприятия в этой части. Если с коммерческими компаниями вопрос попадания или не попадания их в сферу действия ФЗ о безопасности КИИ решается достаточно просто, то с государственными органами и учреждениями ситуация сложнее.
В ряде регионов от регуляторов проводилась рассылка на все гос. органы с требованием провести категорирование объектов КИИ. Но по факту им надо было сначала определится с попаданием с сферу КИИ, а потом уже проводить или не проводить категорирование.
Вспомним рекомендации ФСТЭК в этой части:



1.       ОКВЭД. Давайте посмотрим несколько примеров.
·         Минздрав: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтруда: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Минтранс: 84.11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федерации при Президенте Российской Федерации
·         Медицинская организация: 86.10 - Деятельность больничных организаций - здравоохранение. Плюс в доп. Видах деятельности есть 49 – транспорт
·         Университет: 85.22 - Образование высшее, но среди доп. Видов деятельности присутствует 72.19, 72.20 – наука
Получается, что гос. учреждения – попадают в сферу ФЗ о безопасности КИИ по ОКВЭД, а гос. органы – остаются в стороне.
Хорошо, что у гос. органов есть дополнительный классификатор ОКОГУ, именно по нему можно определить в какой сфере действует гос. орган субъекта РФ:

Но и тут не все однозначно. Например, Министерство ТЭК и ЖКХ попадает по ОКОГУ только в ЖКХ.
И что с администрациями муниципальных образований? По ОКОГУ они идут отдельным пунктом.
2.       Также гос. органы (в отличие от их подведомственных учреждений) не получают лицензии на свою деятельность – по данному фактору мы тоже не сможем их отнести к сфере КИИ.

3.       Смотрим в учредительные документы.
Зачастую самая важная часть в начале документа: “Министерство … является органом … проводящим/реализующим политику в сфере ТЭК, …”   - в сферу КИИ
С муниципальными образованиями сложнее. Приходится смотреть поглубже: “Администрация в области … транспорта и связи осуществляет следующие полномочия:” “Полномочия администрации в области охраны здоровья граждан, развития …” – в сферу КИИ

Аналогичные действия необходимо выполнить и остальным типам организаций. А в следующей части мы приступим к категорированию.  


Комментарии

Комаров Валерий написал(а)…
В 187-ФЗ определение субъекта идет через сферы деятельности информационных систем, а не самих организаций.
Логика ФСТЭК понятна, если у госоргана указана сфера деятельности, то скорее всего она автоматизирована.
Может оказаться, что госорган в указанной сфере КИИ, но при этом у него нет на балансе ни одной ИС, а они все находятся на балансе подведомственных учреждений.
Олег написал(а)…
>> Может оказаться, что госорган в указанной сфере КИИ, но при этом у него нет на балансе ни одной ИС, а они все находятся на балансе подведомственных учреждений.

В таком случае это будут переданные полномочия гос.органа в подведомственное учреждение, что должно быть оформлено соответствующим образом. (Вспоминаем необходимость обоснования обработки данных.)
Сергей Борисов написал(а)…
Валерий, согласен.
Описанным в статье алгоритмом выясняем имеется ли у нас деятельность в сфере КИИ.
Плюс дополнительным этапом проверяем, имеются ли у нас ИС, АСУ, сети в указанных сферах.

Как то давно не встречал организации без ИС...

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

Свежие ответы Роскомнадзора по обработке ПДн

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС