В таблице мы обобщили календарные сроки по выполнению требований на создание систем безопасности объектов КИИ.
№ | Наименование этапов | Результат этапа | Рекомендуемый срок работ | Длительность выполнения работ, дней | |
начала | окончания | ||||
1 | Создание комиссии по категорированию | Приказ (распоряжение) о создании комиссии по категорированию | ноябрь 2018 г. | ноябрь 2018 г. | 2 |
2 |
Определение критичных бизнес-процессов |
Перечень критичных бизнес-процессов | ноябрь 2018 г. | ноябрь 2018 г. | 3 |
3 | Определение перечня объектов КИИ | Утверждённый перечень объектов КИИ | ноябрь 2018 г. | ноябрь 2018 г. | 1 |
4 |
Категорирование объектов КИИ: – сбор исходных данных для категорирования; – разработка отчёта о сборе исходных данных; – разработка модели угроз (базовая модель); – разработка частных моделей угроз; – подготовка актов категорирования; – форма подачи сведений во ФСТЭК |
|
ноябрь 2018 г. | января 2019 г. | 60 |
5 | Взаимодействие с ГосСОПКА |
|
ноябрь 2018 г. | января 2019 г. | В течении всего срока эксплуатации |
6 | Создание системы обеспечения безопасности значимых объектов КИИ |
|
января 2019 г. | сентября 2019 г. | >100 |
7 | Обеспечение безопасности значимых объектов КИИ в ходе эксплуатации |
|
сентября 2019 г. | В течении всего срока эксплуатации | В течении всего срока эксплуатации |
8 | Обеспечение безопасности значимых объектов при выводе из эксплуатации | Выполнение утвержденных требований по уничтожению информации, архитектуры, технической документации и конфигурации значимого объекта КИИ | Н/Д | Н/Д | Н/Д |
Особо хотим обратить внимание, что процесс категорирования объектов КИИ не быстрый и в зависимости от количества информационных систем и распределенности вашей ИТ инфраструктуры может занять более 100 календарных дней! Чтобы не попадать под санкции регуляторов в области безопасности КИИ (ФСТЭК) и регулятора в области соблюдения требований законодательства РФ (Прокуратура) начать выполнять требования ФЗ-187 необходимо сейчас. Для многих субъектов КИИ процесс категорирования объектов КИИ может оказаться существенно дорогостоящим касательно бюджетов организации, опыт нашей компании позволит максимально снизить риски угроз безопасности КИИ и оптимальным образом забюджетировать стоимость выполнение требования с поэтапным выполнением работ.
Вашу принадлежность к субъекту КИИ можно определить из ОКВЭД организации, учредительных документов, лицензий и иных разрешительных документов на виды деятельности. Подробная процедура описана в нашей статье “Безопасность КИИ: коротко о главном”.
Создание комиссии по категорированию
Подготовить и утвердить план мероприятий по проведению категорирования объектов КИИ, разработать и утвердить приказ (распоряжение) о создании комиссии по категорированию объектов КИИ, рекомендовано до 10 июля 2018 г.
Категорирование объектов КИИ
В процессе категорирования определить управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления видов деятельности организации. Выявить критические процессы, оказывающие влияние на деятельности организации, определить объекты КИИ обеспечивающие функционирование, контроль или мониторинг данных процессов, рекомендовано до 01 августа 2018 г. Подготовить перечень объектов КИИ подлежащих категорированию согласовать с отраслевым регулятором (при наличии), утвердить руководителем организации, направить во ФСТЭК России. Перечень объектов КИИ и планируемые сроки проведения категорирования необходимо направить во ФСТЭК России в течении 5-ти рабочих дней после утверждения.
Определить возможные угрозы безопасности, проанализировав действия нарушителей и иные источники угроз безопасности информации в отношении каждого объекта КИИ. Провести анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению киберинцидентов на объектах КИИ.
В соответствии с Постановлением Правительства №127 для каждого объекта КИИ определить возможное значение по каждому показателю, присвоить одну из категорий либо принять решение об отсутствии необходимости присвоения, подготовить и утвердить комиссией акт категорирования объектов КИИ, рекомендовано до 01 января 2019 г.
Подготовить и направить во ФСТЭК России сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения таких категорий по установленной регулятором форме. Данные сведения направляются во ФСТЭК России в течении 10 дней после утверждения комиссией акта категорирования объектов КИИ.
Взаимодействие с ГосСОПКА
Субъектам КИИ которым на праве собственности принадлежат значимые объекты КИИ необходимо обеспечить непрерывное взаимодействие с ГосСОПКА. Для этого на первом этапе необходимо разработать и утвердить руководителем организации регламент информирования ФСБ России об компьютерных инцидентах. На втором этапе подключиться к технической инфраструктуре НКЦКИ в соответствии с установленным порядком и информировать об инцидентах на протяжении всего жизненного цикла значимых объектов КИИ.
Субъектам КИИ которым на праве собственности принадлежат не значимые объекты КИИ необходимо информировать о компьютерных инцидентах НКЦКИ любым возможным способом – сайт, эл. почта, телефон.
Создание системы обеспечения безопасности значимых объектов КИИ
Разработать и утвердить приказ (распоряжение) о создании системы безопасности значимых объектов КИИ, определить цели и сроки создания, назначить ответственных за создание, обеспечение функционирования и осуществления контроля за системами безопасности.
В соответствии с присвоенной категорией значимости определить базовый, адаптивный набор мер, разработать общую и частную модель угроз для каждого объекта КИИ, разработать техническое задание на создание систем безопасности, разработать компенсирующие меры, рекомендовано до 01 сентября 2019 г.
Спроектировать систему безопасности для объектов КИИ, разработать рабочую, эксплуатационную документацию на систему безопасности. Внедрить организационные и технические меры безопасности, провести предварительные испытания, опытную эксплуатацию, провести анализ уязвимостей значимых объектов, провести приемочные испытания, аттестовать значимый объект КИИ если является государственной информационной системой или информационной системой персональных данных.
Обеспечение безопасности значимых объектов КИИ в ходе эксплуатации
В ходе эксплуатации значимого объекта КИИ в течение всего срока, но не реже один раз в год необходимо актуализировать модель угроз безопасности, организационно-распорядительную, проектную документацию на создание систем безопасности, выполнять требования политик, регламентов, инструкций на регулярной основе.
Обеспечение безопасности значимых объектов при выводе из эксплуатации
При выводе из эксплуатации провести мероприятия по архивированию, уничтожению информации, содержащейся в значимом объекте КИИ, уничтожению данных об архитектуре в соответствии с регламентами, утвержденными у субъекта КИИ.