Категорирование объектов КИИ

Полный комплекс услуг по категорированию объектов КИИ включает:

I. АНАЛИЗ КОРРЕКТНОСТИ ОТНЕСЕНИЯ К СУБЪЕКТУ КИИ и
АНАЛИЗ СОСТАВА КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ

Анализ корректности отнесения Заказчика к субъекту КИИ:

  • Анализ материалов и заключений относительно принадлежности Заказчика к субъекту КИИ;
  • Анализ видов деятельности, функций (полномочий);
  • Анализ наличия законных оснований принадлежности Заказчику объектов КИИ (информационных систем, автоматизированных систем управления, информационно-телекоммуникационных систем).

Анализ состава комиссии по категорированию объектов КИИ:

  • Анализ должностных обязанностей членов комиссии по категорированию;
  • Определение зон ответственности членов комиссии по категорированию;
  • Определение достаточности состава комиссии по категорированию.

Подготовка отчета по результатам анализа корректности отнесения Заказчика к субъекту КИИ и предложение по составу комиссии по категорированию.

II. ОБСЛЕДОВАНИЕ, СБОР ДАННЫХ ОБ ОБЪЕКТАХ КИИ

Проведение обследования процессов в рамках выполнения полномочий и инфраструктуры, с целью получения объективной информации для проведения категорирования:

  • Сбор сведений о всех процессах в рамках основных функций и осуществления уставных видов деятельности, которые могут быть отнесены к критическим процессам;
  • Выявление объектов КИИ Заказчика, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов;
  • Сбор сведений о возможном потенциальном ущербе, его масштабах, в случае нарушения критических процессов по основным видам деятельности;
  • Сбор общих сведений о конфигурации инфраструктуры, в т.ч. используемое программное обеспечение (наименования, версии и т.д.), топологии объектов информатизации (автоматизированные рабочие места, серверы, активное сетевое оборудование, средства беспроводного доступа и т.д.);
  • Определение наличия взаимодействия объектов информатизации с сетями;
  • Определение наличия взаимодействия со сторонними информационными системами (объектами);
  • Определение состава информации, обрабатываемой объектами КИИ;
  • Определение перечня операций, производимых с информацией на автоматизированных рабочих местах;
  • Сбор сведений о существующих средствах защиты информации, процедурах обеспечения безопасности информации;
  • Определение перечня лиц, обрабатывающих информацию на объектах КИИ и степени их участия в её обработке (обсуждении, передаче, хранении) информации, характер и взаимодействие между собой;
  • Определение типов компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации;
  • Определение возможных действий нарушителей в отношении объекта КИИ, а также иных источников угроз безопасности информации;
  • Определение возможных объектов КИИ, подлежащих категорированию, для согласования с Заказчиком.

Подготовка Аналитического отчета о результатах анализа перечня объектов КИИ (информационных систем, автоматизированных систем управления, информационно-телекоммуникационных систем) подлежащих категорированию, перечня критических процессов Заказчика

III. МОДЕЛИРОВАНИЕ УГРОЗ И НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ОБЪЕКТОВ КИИ

Формирование моделей угроз безопасности объектов КИИ, подлежащих категорированию:

  • Основные угрозы безопасности информации или обоснование их неактуальности;
  • Описание возможных нарушителей, возможностей каждого нарушителя по реализации угроз безопасности информации.

Подготовка Модели угроз и нарушителя безопасности для каждого объекта КИИ, подлежащего категорированию

IV. КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ

На основе данных обследования и полученных объектов КИИ, подлежащих категорированию:

  • Определение оценки объектов КИИ в соответствии со значениями показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
  • Установление соответствия объектов КИИ значениям показателей критериев значимости в соответствии с согласованной методикой и присвоение каждому из объектов КИИ одной из категорий значимости, либо принятие решения об отсутствии необходимости присвоения им такой категории;

Подготовка проекта перечня объектов КИИ, для утверждения в комиссии по категорированию и   его согласования с регулятором.

Подготовка проекта Акта категорирования объектов КИИ и сведений в соответствии с формой, утвержденной приказом ФСТЭК России от 22.12.2017 №236, для утверждения в комиссии по категорированию и их подачи в Управление ФСТЭК России

V. ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ ОТВЕТСТВЕННЫХ РАБОТНИКОВ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КИИ

Предоставление доступа к обучающему электронному курсу по обеспечении безопасности объектов критической информационной инфраструктуры в соответствии с законодательством РФ