8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400074, г. Волгоград, ул. Козловская, д. 71
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Партнеры
  • Карта партнера
  • Конфиденциальность
  • Политика
  • Доверенности
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Партнеры
    • Карта партнера
    • Конфиденциальность
    • Политика
    • Доверенности
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Партнеры
        • Карта партнера
        • Конфиденциальность
        • Политика
        • Доверенности
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400074, г. Волгоград, ул. Козловская, д. 71
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Категорирование объектов КИИ. Что это такое?

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Категорирование объектов КИИ. Что это такое?
      15 апреля 2024
      // КИИ

      Попадание организации или учреждения под действие закона, устанавливающего меры безопасности в отношении критической информационной инфраструктуры Российской Федерации, автоматически означает необходимость проведения ряда мероприятий по обеспечению защиты автоматизированных систем управления, информационных систем и информационно-телекоммуникационных систем. Одним из самых сложных и трудоемких среди них является категорирование объектов критической информационной инфраструктуры. Что это означает? Каков процесс проведения процедуры? Какие особенности ее реализации? Получить ответы на эти вопросы поможет анализ законодательства и консультация специалистов по информационной безопасности.

      Обеспечить безопасность КИИ

       Категорирование объектов критической информационной инфраструктуры осуществляется в соответствии с требованиями, установленными в Федеральном законе № 187, Постановлении Правительства Российской Федерации № 127 и приказах Федеральной службы по техническому и экспортному контролю № 235, 239 и 236. Основные нормативно-правовые основы были сформированы в 2017-2018 годах, однако ежегодно вносятся изменения для обеспечения высокого уровня защиты критической информационной инфраструктуры в условиях постоянного развития методов злоумышленников. Предприятиям важно следить за изменениями в законодательстве, а также сотрудничать с экспертами по информационной безопасности для проведения регулярного аудита и улучшения системы защиты информации. 


      Идентификация организации как субъекта критической информационной инфраструктуры.

      Прежде чем рассматривать детали передачи данных об объектах критической информационной инфраструктуры в реестр Федеральной службы по техническому и экспортному контролю и разбираться в процедуре категорирования, предусмотренной Федеральным законом № 187, необходимо определить, является ли организация субъектом критической информационной инфраструктуры. Согласно нормативно-правовым документам, сюда относятся государственные учреждения и органы власти, а также учреждения и юридические лица, которые владеют объектами критической информационной инфраструктуры (временными или постоянными), имеют соответствующие документы о праве собственности, аренды или другом законном основании для управления автоматизированными системами управления, информационными системами и информационно-телекоммуникационными системами. 

      Также сюда относятся государственные структуры, компании и предприниматели, обеспечивающие взаимодействие информационных, управляющих и телекоммуникационных сетей и систем в указанных областях. Для иностранных организаций не требуется проведение процедуры категорирования объектов критической информационной инфраструктуры в соответствии с правилами Федеральной службы по техническому и экспортному контролю. Если хотя бы одно из вышеуказанных условий не выполняется, то процедуру проводить не требуется. К сожалению, на практике провести идентификацию сложно без глубоких специализированных знаний, так как нечетко определены понятия, упомянутые в Федеральном законе и других нормативно-правовых актах (например, отсутствует четкое определение термина "принадлежать" или "сфера"). В результате лица, принимающие решения, руководствуются собственным пониманием, которое не всегда соответствует требованиям контролирующих органов."


      Как точно понять, есть ли объекты КИИ, подлежащие категорированию?


      Чтобы точно понять, есть ли объекты КИИ, подлежащие категорированию, следует обратиться к рекомендациям ФСТЭК. Основным инструментом, который позволяет решить, нужно ли выделять ресурсы на определение категорий, является устав компании и Единый реестр организаций в форме ОКВЭД. Если указанные там виды деятельности идентичны тем, которые прописаны в ФЗ-187 (особенно при получении лицензий), то вероятно, придется заниматься категорированием ИТ-инфраструктуры. Однако наличие соответствующих кодов ОКВЭД не всегда является гарантией необходимости категорирования, а отсутствие таких кодов не освобождает от прохождения процедуры. Для точного определения необходимо учесть следующие моменты: 

      1. Не все организации занимаются всеми видами деятельности, указанными в учредительных документах. 

      2. Многие организации вносят в устав пометку о возможности заниматься иными направлениями работ, разрешенными законодательством, включая те, что предполагают внесение данных в реестр значимых объектов КИИ. 

      3. В области науки существует возможность проведения исследований с государственной поддержкой, что формально относит их к числу субъектов критической инфраструктуры. Однако требования ФЗ-187 применяются только в случае использования АСУ, ИС или ИТКС.

      4. Работа в важной для государства отрасли не обязывает проводить категорирование. Требование к этому возникает только в случае использования объектов КИИ. Итого, окончательное установление принадлежности к числу субъектов критической инфраструктуры происходит непосредственно на этапе категорирования.

      Суть категории значимости и потребность в её определении

      Между коммерсантами, государством и обществом существует определенный конфликт интересов. Представители бизнеса заинтересованы в минимизации затрат и увеличении прибыли, что предполагает принятие решений о внедрении мер защиты, соизмеримых с потенциальными потерями в случае их отсутствия. Однако есть серьезный нюанс — в расчет берутся исключительно убытки предприятия, а не последствия для граждан и государства. Например, отключение тепловой электростанции на 1-2 дня для компании, которая обеспечивает ее работу, приведет к снижению дохода всего на пару процентов, тогда как потребителям предстоит столкнуться с серьезными проблемами из-за отсутствия отопления, электричества и горячей воды.

      Для урегулирования подобных трудностей на законодательном уровне закреплено понятие "категория значимости" — это характеристика объекта критической инфраструктуры, с помощью которой удается четко определить, с какими ИТ-элементами предприятие может работать без ограничений, а какие необходимо дополнительно обезопасить от внутренних и внешних угроз. При установлении категории объектов КИИ в расчет берутся 14 типов негативных последствий прекращения или нарушения их работы, прописанных в правительственном постановлении №127. К ним относятся: ухудшение функциональности систем обеспечения жизнедеятельности населения, нанесение вреда здоровью и жизни граждан, сбои связи, уменьшение доходов бюджетов и проблемы с транспортным снабжением и т. д.

      Проведение анализа по совокупности критериев позволяет определить значимые объекты критической информационной инфраструктуры, основываясь на размере вероятного наносимого вреда. Однако есть ряд трудностей, с которыми приходится сталкиваться при выяснении категории значимости в отношении каждого конкретного объекта. Не всегда есть возможность точно определить, сколько людей в теории могут пострадать от нарушения целостности и снижения работоспособности элемента ИТ-инфраструктуры.

      В качестве объекта КИИ выступают не компания или учреждение в целом, а только те АСУ, ИС и ИТКС, которые применяются в отраслях, прописанных в ФЗ-187. Бывает сложно разграничить категории значимости в отношении сложных информационных систем, где элементы могут быть отдельными объектами, в отношении которых необходимо проводить оценку степени вреда.

      В связи с перечисленными затруднениями, очевидно, что заниматься категорированием, как и защитой значимых объектов КИИ, должны те, кто разбирается в терминологии, методиках, а также располагают техническими ресурсами для составления моделей действий нарушителей (внутренних и внешних).

      Для чего необходимо выделить незначимые и значимые объекты критической информационной инфраструктуры?

      Для проведения категоризации необходимо классифицировать критическую информационную инфраструктуру, однако отсутствует единый подход к разграничению объектов. Если какой-то из них не является значимым, то нет смысла вкладывать деньги и ресурсы в обеспечение его безопасности. В то же время, элементы ИТ-инфраструктуры, которые могут потенциально причинить серьезный ущерб, должны быть надежно защищены от угроз как извне, так и изнутри.

       
      Согласно положениям ФЗ-187 и ФСТЭК, можно выделить два типа объектов КИИ — значимые и незначимые, причем первые подразделяются на три категории, где первая является наивысшей, а третья — наинизшей. 

      Принадлежность к определенной категории определяет:

      - выбор и применение мер по противодействию угрозам, способным вызвать остановку или нарушение функционирования. Чем выше категория, тем более серьезные методы блокировки должны быть использованы, чтобы предотвратить негативные последствия действий злоумышленника с высоким, базовым повышенным или базовым потенциалом;

      - использование специализированных средств борьбы с злоумышленниками;

       
      - перечень требований к обеспечению целостности и доступности информационной системы, а также расходы на интеграцию соответствующих систем защиты информации.


      Обязательно ли осуществлять категорирование объектов информатизации?


      Категорирование объектов информатизации является обязательным процессом для субъектов критической информационной инфраструктуры (КИИ) согласно Постановлению №127. Субъекты КИИ имеют шесть месяцев на согласование списка объектов и сроков с контролирующим органом. Есть также определенные временные рамки для решения формальностей, и если они не соблюдаются, ФСТЭК может направить официальный запрос с требованием выполнить положения Федерального закона №187. Несоблюдение этих требований влечет за собой серьезные штрафные санкции и другие наказания в соответствии с Кодексом административных правонарушений. В современных условиях, когда контроль за информационной безопасностью является приоритетным, более разумным и выгодным является проведение необходимых процедур с самого начала, чтобы избежать негативных последствий в будущем.


      Специфика анализа угроз


      Для успешного анализа угроз информационной безопасности важно следовать специфике, установленной Приказом ФСТЭК №239. Необходимо четко разделять оценку угроз и определение негативных результатов инцидентов, учитывая при этом особенности категорирования. При оценке угроз требуется использовать централизованную базу данных уязвимостей и тестировать различные сценарии действий злоумышленников. Однако при определении негативных результатов инцидентов такая детальная проработка может быть излишней. Важно помнить, что при выделении объектов критической информационной инфраструктуры необходимо ориентироваться не только на их функциональное назначение, но и на реальную сферу эксплуатации.


      Формализация процесса


      При формализации процесса категорирования объектов критической информационной инфраструктуры (КИИ) важно соблюдать установленные законодательством ограничения по времени на каждый этап процедуры. Контрольные точки включают в себя составление списка объектов КИИ и присвоение им категории значимости, а также информирование ФСТЭК об утверждении перечня в установленный срок. После подготовки акта категорирования объекта КИИ необходимо уведомить контролирующий орган и провести проверку данных, уделяя внимание возможным недоработкам. Весь процесс должен быть завершен в течение 12 месяцев, однако анализ соответствия правовым нормативам может проводиться только через 3 года. Важно соблюдать установленные сроки и процедуры для обеспечения безопасности информационной инфраструктуры.


      Профессиональный подход к категорированию объектов критической информационной инфраструктуры.

      Для эффективного выделения значимых объектов критической информационной инфраструктуры рекомендуется обратиться к экспертам. 

      Наша компания  предлагает комплекс услуг, включающий в себя:

      - Проведение исследования на этапе подготовки проекта для получения необходимой информации об элементах информационной инфраструктуры, требующих категорирования.

      - Выявление критических процессов, ИТКС, АСУ и ИС, необходимых для их функционирования.

       - Составление документов для передачи в контролирующие органы.

      - Оценка потенциального ущерба при возникновении инцидентов. 

      - Подготовка актов категорирования с учетом актуальных нормативно-правовых требований.

      Мы успешно сотрудничаем с частными клиентами и компаниями, обладаем лицензией ФСТЭК и предлагаем доступные цены на все виды услуг. Свяжитесь с нами онлайн или по телефону для обсуждения деталей, сроков и стоимости работ.


      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных13
      • Пентест7
      • КИИ28
      • Информационная безопасность21
      • АСУ3
      • Средства защиты информации6
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Наказания за нарушение закона 187-ФЗ "О безопасности критической информационной инфраструктуры"
        2 апреля 2024
      • Категорирование критической информационной инфраструктуры в 2024 году
        2 апреля 2024
      • О порядке перехода субъектов Критической информационной инфраструктуры РФ
        5 марта 2024
      • Защита объектов критической информационной инфраструктуры (КИИ)
        21 августа 2023
      • КИИ - критическая информационная инфраструктура в 2023 году?
        15 августа 2023
      • Организационно-распорядительной документация по обеспечению безопасности значимых объектов КИИ
        18 февраля 2021
      • 187-ФЗ «О безопасности КИИ РФ» официальная позиция ФСТЭК к выполнению требований субъектами
        21 декабря 2020
      • Ключевые изменения Приказа ФСТЭК №239 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ)» внесенные приказом ФСТЭК №35
        16 сентября 2020
      • Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
        19 марта 2020
      • Категорирование объектов КИИ – есть ли жизнь после?
        31 октября 2019
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Партнеры
      Карта партнера
      Конфиденциальность
      Политика
      Доверенности
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400074, г. Волгоград, ул. Козловская, д. 71
      resp@ec-rs.ru
      © 2025 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.