Сроки и этапы выполнения требований ФЗ-187

 Десять месяцев назад вступил в законную силу ФЗ-187 и мы хотим показать наглядно, что времени для выполнения требований закона в части категорирования объектов КИИ осталось не так уж и много. 

 


 

Предлагаем сэкономить Ваше время и предложить информационный материал согласно вашего интереса!
Для это выберите одно из ниже приведенных определений:

Я не знаю, что такое КИИ и 187-ФЗ Есть предположение, что предприятие субъект КИИ Я уверен, что предприятие субъект КИИ, но не знаю, что делать дальше

 


 

В таблице мы обобщили календарные сроки по выполнению требований на создание систем безопасности объектов КИИ.

 

Наименование этапов Результат этапа Рекомендуемый срок работ Длительность выполнения работ, дней
начала окончания
1 Создание комиссии по категорированию Приказ (распоряжение) о создании комиссии по категорированию ноябрь 2018 г. ноябрь 2018 г. 2
2

Определение критичных бизнес процессов

Перечень критичных бизнес процессов ноябрь 2018 г. ноябрь 2018 г. 3
3 Определение перечня объектов КИИ Утверждённый перечень объектов КИИ ноябрь 2018 г. ноябрь 2018 г. 1
4 Категорирование объектов КИИ:
– сбор исходных данных для категорирования;
– разработка отчёта о сборе исходных данных;
– разработка модели угроз (базовая модель);
– разработка частных моделей угроз;
– подготовка актов категорирования;
– форма подачи сведений во ФСТЭК
  • Отчёт о сборе исходных данных;
  • Базовая модель угроз;
  • Частная модель угроз;
  • Акты категорирования;
  • Форма подачи сведений о результатах категорирования
ноябрь 2018 г. января 2019 г. 60
5 Взаимодействие с ГосСОПКА
  • Регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах;
  • Подключиться к технической инфраструктуре НКЦКИ (при наличии значимых объектов);
  • Информировать ФСБ России о компьютерных инцидентах (при отсутствии значимых объектов КИИ)
ноябрь 2018 г. января 2019 г. В течении всего срока эксплуатации
6 Создание системы обеспечения безопасности значимых объектов КИИ
  • Организационно-распорядительные документы о создании системы безопасности значимых объектов КИИ;
  • Техническое задание на создание системы безопасности значимых объектов КИИ;
  • Разработка организационных и технических мер защиты значимых объектов КИИ;
  • Внедрение организационных и технических мер защиты значимых объектов КИИ;
  • Ввод в действие системы обеспечения безопасности значимых объектов КИИ
января 2019 г. сентября 2019 г. >100
7 Обеспечение безопасности значимых объектов КИИ в ходе эксплуатации
  • Актуализация организационных и технических мер защиты значимых объектов КИИ;
  • Выполнение требований утвержденных политик, регламентов, инструкций по обеспечению безопасности значимых объектов КИИ
сентября 2019 г. В течении всего срока эксплуатации В течении всего срока эксплуатации
8 Обеспечение безопасности значимых объектов при выводе из эксплуатации Выполнение утвержденных требований по уничтожению информации, архитектуры, технической документации и конфигурации значимого объекта КИИ Н/Д Н/Д Н/Д

 

Особо хотим обратить внимание, что процесс категорирования объектов КИИ не быстрый и в зависимость от количества информационных систем и распределенности вашей ИТ инфраструктуры может занять более 100 календарных дней! Чтобы не попадать под санкции регуляторов в области безопасности КИИ (ФСТЭК) и регулятора в области соблюдения требований законодательства РФ (Прокуратура) начать выполнять требования ФЗ-187 необходимо сейчас. Для многих субъектов КИИ процесс категорирования объектов КИИ может оказаться существенно дорогостоящим касательно бюджетов организации, опыт нашей компании позволить максимально снизить риски угроз безопасности КИИ и оптимальным образом забюджетировать стоимость выполнение требования с поэтапным выполнением работ.

 

Вашу принадлежность к субъекту КИИ можно определить из ОКВЭД организации, учредительных документов, лицензий и иных разрешительных документов на виды деятельности. Подробная процедура описана в нашей статье «Безопасность КИИ: коротко о главном».

 

Создание комиссии по категорированию

 

Подготовить и утвердить план мероприятий по проведению категорирования объектов КИИ, разработать и утвердить приказ (распоряжение) о создании комиссии по категорированию объектов КИИ, рекомендовано до 10 июля 2018 г.

 

Приказ о создании комиссии по категорированию объектов КИИ
СКАЧАТЬ

 

 

Категорирование объектов КИИ

 

В процессе категорирования определить управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления видов деятельности организации. Выявить критические процессы, оказывающие влияние на деятельности организации, определить объекты КИИ обеспечивающие функционирование, контроль или мониторинг данных процессов, рекомендовано до 01 августа 2018 г. Подготовить перечень объектов КИИ подлежащих категорированию согласовать с отраслевым регулятором (при наличии), утвердить руководителем организации, направить во ФСТЭК России. Перечень объектов КИИ и планируемые сроки проведения категорирования необходимо направить во ФСТЭК России в течении 5-ти рабочих дней после утверждения.

 

Форма представления перечня объектов КИИ
СКАЧАТЬ

 

 

Определить возможные угрозы безопасности проанализировав действия нарушителей и иные источники угроз безопасности информации в отношении каждого объекта КИИ. Провести анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению кибер инцидентов на объектах КИИ.

 


 

Заполните опросный лист и мы предоставим Вам Технико-Коммерческое предложение по категорированию объектов КИИ

 


 

В соответствии с Постановлением Правительства №127 для каждого объекта КИИ определить возможное значение по каждому показателю, присвоить одну из категорий либо принять решение об отсутствии необходимости присвоения, подготовить и утвердить комиссией акт категорирования объектов КИИ, рекомендовано до 01 января 2019 г.

 

 

Акт категорирования объектов КИИ
СКАЧАТЬ

 

 

Подготовить и направить во ФСТЭК России сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения таких категорий по установленной регулятором форме. Данные сведения направляются во ФСТЭК России в течении 10 дней после утверждения комиссией акта категорирования объектов КИИ.

 

 

Форма направления сведений, утверждённая ФСТЭК России
СКАЧАТЬ

 

 

Взаимодействие с ГосСОПКА


Субъектам КИИ которым на праве собственности принадлежат значимые объекты КИИ необходимо обеспечить непрерывное взаимодействие с ГосСОПКА. Для этого на первом этапе необходимо разработать и утвердить руководителем организации регламент информирования ФСБ России об компьютерных инцидентах. На втором этапе подключиться к технической инфраструктуре НКЦКИ в соответствии с установленным порядком и информировать об инцидентах на протяжении всего жизненного цикла значимых объектов КИИ.

 

Субъектам КИИ которым на праве собственности принадлежат не значимые объекты КИИ необходимо информировать об компьютерных инцидентах НКЦКИ любым возможным способом – сайт, эл. почта, телефон.

 

Создание системы обеспечения безопасности значимых объектов КИИ

 

Разработать и утвердить приказ (распоряжение) о создании системы безопасности значимых объектов КИИ, определить цели и сроки создания, назначить ответственных за создание, обеспечение функционирования и осуществления контроля за системами безопасности.

 

 

В соответствии с присвоенной категорией значимости определить базовый, адаптивный набор мер, разработать общую и частную модель угроз для каждого объекта КИИ, разработать техническое задание на создание систем безопасности, разработать компенсирующие меры, рекомендовано до 01 сентября 2019 г.

 


 
Заполните опросный лист и мы предоставим Вам Технико-Коммерческое предложение на создание системы обеспечения безопасности значимых объектов КИИ.

 


 

Спроектировать систему безопасности для объектов КИИ, разработать рабочую, эксплуатационную документацию на систему безопасности. Внедрить организационные и технические меры безопасности, провести предварительные испытания, опытную эксплуатацию, провести анализ уязвимостей значимых объектов, провести приемочные испытания, аттестовать значимый объект КИИ если является государственной информационной системой или информационной системой персональных данных.

 

Обеспечение безопасности значимых объектов КИИ в ходе эксплуатации

 

В ходе эксплуатации значимого объекта КИИ в течении всего срока, но не реже один раз в год необходимо актуализировать модель угроз безопасности, организационно-распорядительную, проектную документацию на создание систем безопасности, выполнять требования политик, регламентов, инструкций на регулярной основе.

 

Обеспечение безопасности значимых объектов при выводе из эксплуатации

 

При выводе из эксплуатации провести мероприятия по архивированию, уничтожению информации содержащейся в значимом объекте КИИ, уничтожению данных об архитектуре в соответствии с регламентами утвержденными у субъекта КИИ.

Назад