Что делать после определения статуса субъект КИИ?
После определения статуса КИИ необходимо:
1) Определить перечень процессов в организации;
2) По составленному перечню процессов в организации необходимо определить критические процессы;
3) Определить системы, обслуживающие критические процессы, и определить, являются ли они объектами КИИ;
4) Составить перечень объектов КИИ по установленной форме;
5) Утвердить и в течение пяти дней отправить перечень объектов КИИ в ФСТЭК;
6) Определить последствия от компьютерных атак;
7) Провести категорирование;
8) По результатам проведения работ по категорированию, отправить сведения о результатах категорирования в ФСТЭК.
Какие процессы считаются критическими?
Для определения перечня критических процессов необходимо определить тип процесса:
- управленческий;
- технологический;
- производственный;
- финансово-экономический;
- иной.
- социальному;
- экономическому;
- экологическому;
- политическому;
- негативному последствию для обеспечения обороны страны, безопасности государства и правопорядка.
Как определить перечень объектов КИИ?
Для определения перечня объектов КИИ необходимо ответить на следующие вопросы:
- система обрабатывает информацию, необходимую для обеспечения критического процесса?
- система осуществляет управление критического процесса?
- система осуществляет контроль критического процесса?
- система осуществляет мониторинг критического процесса?
Если система не выполняет ни одно из требований, то система не является Объектом КИИ.
Согласно ГОСТ Р 51275-99, обработка информации это – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Трудно представить систему, которая обеспечивает критический процесс, но не обрабатывает информацию, необходимую для обеспечения критического процесса, поэтому все системы скорее всего войдут в перечень объектов.
Как выглядит форма перечня объектов КИИ, направляемая в ФСТЭК?
После того, как сформирован перечень объектов КИИ, его необходимо утвердить генеральным директором, и отправить в ФСТЭК на согласование не позднее, чем 5 дней после подписания генеральным директором.
Форма перечня объектов КИИ, направляемая в ФСТЭК регламентирована
Как определить последствия каждой системы в результате компьютерного инцидента?
Для определения последствий в результате компьютерного инцидента, необходимо использовать (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Как провести категорирование?
Основываясь на последствиях каждому объекту присваивается категория, которые описываются в (Приложение: «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения»).
Рекомендуем ознакомиться с нашим обзором проекта постановления о внесении дополнений в Постановление Правительства №127 от 08.02.2018 г.
Какие сведения направляются в ФСТЭК по результатам проведения категорирования?
В ФСТЭК направляются сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Перечень сведений регламентирован
