Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.

Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
Когда вопросы о том «Что относится к объектам критической информационной инфраструктуры?» и «Как провести категорирование объектов КИИ выдержав все сроки ФЗ-187?» для вас уже не актуальны, встает новый – «Что делать после категорирования? Как оценить и забюджетировать реализацию требований по обеспечению безопасности объектов КИИ?»

После проведенных работ по категорированию, когда вы стали счастливым обладателем реестра объектов КИИ своего предприятия, перед вами образовался новый квест – вы должны определиться с мерами по защите объектов КИИ и реализовать их.

Применение мер по защите необходимо как для значимых, так и не значимых объектов КИИ!

Объем технических и организационных мер, как и стоимость мер по защите объектов КИИ, зависит от категории значимости объекта: от внедрения организационных мер для незначимых объектов КИИ до значительной модернизации системы защиты информации для значимых объектов КИИ.

Ниже рассмотрим реализацию требований к безопасности для значимых объектов КИИ (имеющих ту или иную категорию значимости) и незначимых объектов КИИ (не имеющих категорию значимости).

Субъект КИИ со значимыми объектами КИИ

Для своевременной реализация требований по обеспечению безопасности значимых объектов КИИ, необходимо привлечение значительных финансовых и трудовых ресурсов, которыми не всегда обладают предприятия. По этой причине, субъектам КИИ, необходимо заранее запускать процессы бюджетирования для выделения средств на реализацию требований законодательства в установленные сроки.

Для определения стоимости мы используем 2 метода:
  • предварительная оценка стоимости построения (модернизации) системы защиты объектов КИИ;
  • проектирование системы защиты объектов КИИ.
Экспресс-оценка стоимости модернизации системы защиты объектов КИИ

Предварительная оценка стоимости реализации мер защиты объектов КИИ, которую мы проводим бесплатно для наших заказчиков, используется для экспресс-оценки стоимости модернизации системы защиты объектов КИИ. Результаты такой оценки носят ориентировочных характер, но с этими результатами можно (и нужно) запускать внутри Вашей организации процессы бюджетирования и выделения средств на модернизацию системы защиты объектов КИИ.

В рамках предварительной оценки мы удаленно собираем исходные данные методами интервьюирования и направлением опросных листов. По результату экспресс-оценки стоимости реализации мер защиты объектов КИИ Вы получаете:
  • спецификацию средств защиты информации с указанием стоимостных параметров;
  • стоимость пусконаладочных работ;
  • стоимость разработки организационно-распределительной документации.

Проектирование системы защиты объектов КИИ

Для точного формирования спецификации средств защиты информации, ведомости объемов работ, порядка внедрения мер защиты информации, определения режимов и настроек работы оборудования, а также разработки сметной документации, учитывая существующие средства защиты и ИТ-инфраструктуры, необходимо разработать техно-рабочий проект на создание (модернизации) системы защиты объектов КИИ. В результате вы получаете технорабочий проект, согласованный со всеми заинтересованными сторонами. Состав проектной документации определяется в индивидуальном порядке.

Субъект КИИ без значимых объектов КИИ

Субъекту КИИ без значимых объектов необходимо скорректировать существующие организационно-распорядительные документы по требованиям п.2 ст.9 ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» дополнив требованиями:
  • к процессам;
  • к персоналу.
При корректировке организационно распределительной документации Вам необходимо учесть следующие требования к процессам:
  • выявление компьютерных инцидентов;
  • актуализация перечня объектов КИИ, а также направить актуальный перечень в ФСТЭК;
  • актуализация сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий, а также направление сведений о результатах категорирования в ФСТЭК.
При корректировке ОРД необходимо учесть следующие требования к персоналу субъекта КИИ:

ПерсоналТребования
Технический персонал
  • выявлять компьютерные инциденты;
  • информировать комиссию по категорированию о выявленных инцидентах;
  • информировать комиссию по категорированию об изменении системного и/или программного, аппаратного обеспечения объекта КИИ.
Комиссия о категорировании
  • отправлять сведения об инцидентах в НКЦКИ в установленный срок;
  • корректировать форму сведений о результатах категорирования в случае изменения любой из позиции сведений, утвержденных приказом ФСТЭК России от 22 декабря 2017 г. №236;
  • направлять в ФСТЭК актуальную (в случае изменения) версию формы сведений о результатах категорирования;
  • актуализировать Перечень объектов КИИ (форма перечня, утвержденная Информационным сообщением ФСТЭК от 24 августа 2018 г. N 240/25/3752);
  • утверждать и направлять (не позднее 10 рабочих дней с момента утверждения) откорректированный Перечень объектов КИИ в ФСТЭК;
  • проводить категорирования для новых объектов КИИ.

Получить подробную консультацию по вопросам реализации требований по обеспечению безопасности объектов КИИ вы можете отправив нам запрос на сайте или обратиться по телефону: 8-800-333-27-53 (бесплатно по РФ)
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Твой код — безопасный?

Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.

Участвовать

article-title

ИЦ Региональные системы

Корпоративный блог компании Инжиниринговый центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ.