Время, отведенное ФСТЭК и ФСБ на организацию выполнения требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.
Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания приветствуется.
name="'more'">
Часть.2 Планирование
Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время.
Элберт Хаббард
План мероприятий
по обеспечению безопасности объектов КИИ
№ пп | Мероприятие | Уч-ки | Срок | Посл-ть | Основание | Результат | Прим-е |
1 | Создание Комиссии по учету и категорированию КИИ | ||||||
1.1. | Разработка положения о Комиссии КИИ | Проект Положения о комиссии КИИ | - | ||||
1.2. | Определение персонального состава Комиссии КИИ | Проекты приказов о назначении персонального состава комиссии по категорированию КИИ | |||||
1.3. | Утверждение Приказа о Комиссии КИИ и Положения | после выполнения п.1.1 и 1.2 | п.11 ПП РФ от 08.02.2018 №127 | Создана Комиссии КИИ | - | ||
2 | Учет объектов КИИ | ||||||
2.1. | Определение ИС/АСУ/ИКТС, которые на праве собственности, аренды или на ином законном основании принадлежат принадлежащих организации | Комиссия КИИ; | после выполнения п.1.3 | п.14 ПП РФ от 08.02.2018 №127 | Реестр ИС | - | |
2.2. | Определение сфер деятельности организации, автоматизированными каждой ИС/АСУ/ИКТС, определенной по результатам выполнения п. 2.1 | Комиссия КИИ; | после выполнения п.2.1 | п.14 ПП РФ от 08.02.2018 №127 | Перечень сфер деятельности | - | |
2.3. | Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.2, с целью определения процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры. | Комиссия КИИ; | после выполнения п.2.2 | п.14 ПП РФ от 08.02.2018 №127 | Перечень процессов | - | |
2.4. | Изучение и анализ сфер деятельности организации, определенных по результатам выполнения п.2.3, с целью определения критичных процессов | Комиссия КИИ; | после выполнения п.2.3 | п.14 ПП РФ от 08.02.2018 №127 | Перечень критических процессов | - | |
2.5. | Формирование проектов Перечней объектов КИИ в организации | Комиссия КИИ; | после выполнения п.2.3 | п.14 ПП РФ от 08.02.2018 №127 | Проект Перечней объектов КИИ | - | |
2.6. | Рассмотрение проектов Перечней объектов КИИ на заседаниях Комиссий КИИ организации | Комиссия КИИ | после выполнения п.2.3 | Откорректированные Перечни объектов КИИ | - | ||
2.7. | Направление на согласование в ….. проектов Перечней объектов КИИ организации | после выполнения п.2.6 | п.15 ПП РФ от 08.02.2018 №127 | Перечни объектов КИИ согласованы с ….. | Этап для подведомственных организаций | ||
2.8. | Утверждение согласованных проектов Перечней объектов КИИ | после выполнения п.2.7 | п.15 ПП РФ от 08.02.2018 №127 | Утвержденный Перечень объектов КИИ, подлежащих категорированию | - | ||
2.9. | Уведомление ФСТЭК России о Перечнях объектов КИИ | после выполнения п.2.8 | п.15 ПП РФ от 08.02.2018 №127 | Исходящее письмо во ФСТЭК России | Уведомление ФСТЭК России должно быть осуществлено в течение 5 рабочих дней со дня утверждения перечня | ||
3 | Категорирование [2] объектов КИИ | ||||||
3.1. | Определение категории значимости каждого объекта КИИ согласно утвержденным Перечням объектов КИИ | Комиссия КИИ | после выполнения п.2.8 | п.14 ПП РФ от 08.02.2018 №127 | Протокол оценки значимости объектов КИИ | ||
3.2. | Создание акта присвоения категории значимости объекту КИИ | Комиссия КИИ; | после выполнения п.3.1 | п.16 ПП РФ от 08.02.2018 №127 | Проекты актов категорирования объектов КИИ | ||
3.3. | Подготовка уведомления ФСТЭК России о результатах категорирования (присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий) | Комиссия КИИ; | после выполнения п.3.1 | п.18 ПП РФ от 08.02.2018 №127 | Проекты форм уведомления | ||
3.4. | Утверждение актов | Ген директор | после выполнения п.3.2 | п.16 ПП РФ от 08.02.2018 №127 | Акты категорирования объектов КИИ | ||
3.5. | Направление во ФСТЭК России уведомления о результатах категорирования объектов КИИ | после выполнения п.3.4 | п.17 ПП РФ от 08.02.2018 №127 | Исходящие письма в ФСТЭК России о результатах категорирования объектов КИИ | Уведомление ФСТЭК России должно быть осуществлено в течение в течение 10 дней со дня утверждения акта. | ||
4 | Управление [3] инцидентами (УИ) | ||||||
4.1. | Разработка Регламента УИ | параллельно с п.1 | - ст. 9 187-ФЗ | Проект Регламента УИ | - | ||
4.2. | Утверждение Регламента УИ | после выполнения п.4.1 | ст. 9 187-ФЗ | Регламент УИ | - | ||
4.3. | Определение персонального состава участников процесса УИ, а также их назначение нормативным актом по организации | после выполнения п.4.2 и п.2.8 | ст. 9 187-ФЗ | Приказ о назначении участников процесса УИ | После утверждения перечня объектов КИИ, т.к. выявление инцидентов ИБ должно осуществляться в отношении всех объектов КИИ (вне зависимости от результатов категорирования) | ||
4.4 | Непрерывный мониторинг и выявление инцидентов ИБ | Участники процесса УИ | после выполнения п.4.3 и п.5.2 | ст. 9 187-ФЗ приказ ФСБ от 24.07.2018 №367 | Отчетность по инцидентам ИБ | Создание подсистемы мониторинга и выявления инцидентов ИБ осуществляется в рамках п. 5 настоящего Плана | |
4.5 | Уведомление ФСБ России об инцидентах ИБ, выявленных в отношении объектов КИИ не являющихся значимыми, по электронной почте | Участники процесса УИ | после выполнения п.4.3 и п.5.2 | ст. 9 187-ФЗ приказ ФСБ от 24.07.2018 №367 | Исходящие письма в ФСБ России | Данный способ уведомления может осуществляться только для объектов КИИ, не являющихся значимыми, в том числе, без их подключения к ГосСОПКА. Подключение к ГосСОПКА осуществляется в добровольном порядке по решению субъекта КИИ. | |
4.6 | Уведомление НКЦКИ об инцидентах ИБ, выявленных в отношении значимых объектов КИИ с использованием ГосСОПКА | - Участники процесса УИ | На постоянной основе | после выполнения п.4.4 и п.5.4 | ст. 9 187-ФЗ приказ ФСБ от 24.07.2018 №367 | Формы автоматизированного уведомления | Данный способ уведомления должен осуществляться в обязательном порядке для всех значимых объектов КИИ. Выполнение субъектом КИИ обязанности уведомления вступило в законную силу с 01.01.2018 г., но может быть реализована только с момента внесения объекта КИИ в Реестр ФСТЭК. Подключение системы безопасности значимых объектов КИИ к ГосСОПКА осуществляется в рамках п. 5 настоящего Плана. |
4.7 | Разработка Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак | - НКЦКИ | после выполнения п.3.2 | Проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак | Регламент применяется только в отношении значимых объектов КИИ. | ||
4.8 | Согласование Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных с 8 Центром ФСБ России | 8 Центр ФСБ России | после выполнения п.4.7 | п.8 Порядка информирования ФСБ России о компьютерных инцидентах | Согласованный проект Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак | - | |
4.9 | Утверждение Регламента взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак | Ген директор | после выполнения п.4.8 | - Утвержденный Регламент взаимодействия при реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак - Приказ о назначении ответственного за взаимодействие с НКЦКИ | Регламент должен быть утвержден только при наличии у субъекта КИИ значимых объектов КИИ | ||
4.10 | Разработка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | после выполнения п.4.9 | п.6 Порядка информирования ФСБ России о компьютерных инцидентах | Проект План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | |||
4.11 | Утверждение Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | Ген директор | после выполнения п.4.10 | - Утвержденный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак - Приказ о назначении ответственных за выполнение Плана | |||
4.12 | Корректировка Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | после выполнения п.7.11 | п.7 Порядка информирования ФСБ России о компьютерных инцидентах | Актуальный План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | Осуществляется по результатам проведения тренировок по реагированию на компьютерные атаки (п.7.13) | ||
4.13 | Информирование НКЦКИ о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак | Ответственный за взаимодействие с НКЦКИ | после выполнения п.3.4 | п. 13 Порядка информирования ФСБ России о компьютерных инцидентах | Исходящие письма в НКЦКИ | Информирование должно быть осуществлено не позднее 48 часов с момента завершения мероприятий и только в отношении значимых объектов КИИ. | |
5 | Создание и модернизация системы безопасности значимых объектов КИИ | ||||||
5.1 | Проектирование (разработка) систем безопасности значимых объектов КИИ | после выполнения п.3.1 | - ст. 10 187-ФЗ; - п.2 приказа ФСТЭК России от 25.12.2017 №235; - приказ ФСТЭК России от 25.12.2017 №239 | Документы техно-рабочего проекта по созданию систем безопасности | - | ||
5.2 | Внедрение систем безопасности значимых объектов КИИ | после выполнения п.5.1 | - ст. 10 187-ФЗ; - п.8 приказа ФСТЭК России от 21.12.2017 № 235 - п.12.7 приказа ФСТЭК России от 25.12.2017 №239 | - Акты монтажа и настройки СЗИ; - Программа предварительных испытаний; - Акт и Протокол проведения предварительных испытаний; - Акт ввода в опытную эксплуатацию; Журнал проведения опытной эксплуатации; - Эксплуатационная документация (в части обеспечения безопасности); - Организационно-распорядительная документация по безопасности | - | ||
5.3 | Аттестация систем безопасности значимых объектов КИИ | после выполнения п.5.2 | - п.10 приказа ФСТЭК России от 21.12.2017 № 235 | - Программа и методика испытаний; - Протокол проведения испытаний; - Заключение; - Аттестат соответствия; Результаты анализа уязвимостей и принятия мер по их устранению; - Акт ввода в промышленную безопасность | - | ||
5.4 | Подключение систем безопасности значимых объектов КИИ к ГосСОПКА | после выполнения п.3.1 | ст. 9 187-ФЗ | - Акт подключения - Согласие НКЦКИ на установку средств ГосСОПКА - Приказ о назначении лиц, ответственных за эксплуатацию средств ГосСОПКА - Проектная документация по установке средств ГосСОПКА (места размещения, схемы электроснабжения, пояснительная записка и т.д.) - Эксплуатационная документация на средства ГосСОПКА | Субъект КИИ после приема в эксплуатацию средств информирует об этом НКЦКИ | ||
5.5 | Модернизация (совершенствование) систем безопасности значимых объектов КИИ | после выполнения п.5.3 | п.37 приказа ФСТЭК России от 21.12.2017 № 235 | - План модернизации | Осуществляется по результатам выполнения п. 7 настоящего Плана | ||
6 | Повышение уровня знаний работников предприятия по безопасности значимых объектов КИИ | ||||||
6.1 | Разработка Регламента повышений уровня знаний | параллельно с п.1 | - п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235; - мера ИПО.0 приказа ФСТЭК России от 25.12.2017 №239 | - Проект Регламента повышений уровня знаний | - | ||
6.2 | Утверждение Регламента повышений уровня знаний | Ген директор | после выполнения п.6.1 | - Утвержденный Регламент повышений уровня знаний | - | ||
6.3 | Определение персонального состава участников процесса повышения уровня знаний | после выполнения п.6.2 и п.3.4 | п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235 | - Приказ о назначении участников процесса повышения уровня знаний | |||
6.4 | Формирование Плана проведения мероприятий по повышению уровня знаний | после выполнения п.6.3 | п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235 | - Проект Плана проведения мероприятий по повышению уровня знаний | - | ||
6.5 | Утверждение Плана проведения мероприятий по повышению уровня знаний | Ген директор | после выполнения п.6.4 | п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235 | - План проведения мероприятий по повышению уровня знаний | - | |
6.6 | Проведение мероприятий по повышению уровня знаний | Участники процесса | после выполнения п.6.5 | п.15, 16 приказа ФСТЭК России от 21.12.2017 № 235 | - Протоколы и журналы учета мероприятий по повышению уровня знаний | ||
7 | Внутренний контроль значимых объектов КИИ | ||||||
7.1. | Разработка Регламента аудита ИБ | параллельно с п.1 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Проект Регламента аудита ИБ | - | ||
7.2 | Утверждение Регламента аудита ИБ | Ген директор | после выполнения п.7.1 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Регламент аудита ИБ | - | |
7.3 | Определение персонального состава участников процесса аудита ИБ | после выполнения п.7.2 и п.3.4 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Приказ о назначении участников процесса аудита ИБ и комиссии | |||
7.4 | Формирование Программы проведения аудитов ИБ | после выполнения п.7.3 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Проект Программы проведения аудитов ИБ | |||
7.5 | Утверждение Программы проведения аудитов ИБ | после выполнения п.7.4 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Программа проведения аудитов ИБ | - | ||
7.6 | Проведение аудита ИБ | после выполнения п.7.5 | п.36 приказа ФСТЭК России от 21.12.2017 № 235 | - Планы проведения аудитов ИБ; - Протоколы проведения аудитов ИБ; Акты проведения аудитов ИБ | |||
7.7 | Формирование плана устранения выявленных несоответствий и уязвимостей | после выполнения п.7.6 | - Планы корректирующих и превентивных мероприятий | ||||
7.8 | Устранение выявленных несоответствий и уязвимостей | после выполнения п.7.7 | - Протоколы и акты устранения | ||||
7.9 | Разработка Плана тренировок по отработке мероприятий Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | после выполнения п.4.12 | п.7 Порядка информирования ФСБ России о компьютерных инцидентах | Проект Плана тренировок по отработке мероприятий | |||
7.10 | Утверждение Плана тренировок по отработке мероприятий | Ген директор | после выполнения п.7.9 | - План тренировок по отработке мероприятий - Приказ о назначении ответственных за выполнение Плана | - | ||
7.11 | Проведение мероприятий Плана тренировок по отработке мероприятий | после выполнения п.7.10 | п.7 Порядка информирования ФСБ России о компьютерных инцидентах | Отчеты о результатах | |||
7.12 | Разработка предложений по корректировке Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак | после выполнения п.7.11 | п.7 Порядка информирования ФСБ России о компьютерных инцидентах | Перечень предложений | - | ||
8 | Обеспечение бесперебойной эксплуатации значимых объектов КИИ | ||||||
8.1 | Разработка Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций | после выполнения п.3.1 | - п.13.6 приказа ФСТЭК России от 25.12.2017 №239 | Проект Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций | - | ||
8.2 | Утверждение Плана мероприятий по обеспечению безопасности в случаи нештатных ситуаций | Ген директор | после выполнения п.8.1 | - План мероприятий по обеспечению безопасности в случаи нештатных ситуаций - Приказ о назначении ответственных за выполнение Плана | - | ||
8.3 | Разработка Порядка анализа возникших нештатных ситуаций | после выполнения п.3.1 | - п.13.6 приказа ФСТЭК России от 25.12.2017 №239 | Проект Порядка анализа возникших нештатных ситуаций | - | ||
8.4 | Утверждение Порядка анализа возникших нештатных ситуаций | Ген директор | после выполнения п.8.4 | Порядок анализа возникших нештатных ситуаций | - | ||
8.5 | Разработка Программы обучения и тренировки персонала на случай действий при нештатных ситуациях | после выполнения п.3.1 | - п.13.6 приказа ФСТЭК России от 25.12.2017 №239 | Проект Программы обучения и тренировки персонала на случай действий при нештатных ситуациях | - | ||
8.6 | Утверждение Программы обучения и тренировки персонала на случай действий при нештатных ситуациях | Ген директор | после выполнения п.8.6 | Программа обучения и тренировки персонала на случай действий при нештатных ситуациях | - | ||
8.7 | Разработка Политики обеспечения действий в нештатных ситуациях | после выполнения п.3.1 | мера ДНС.0 приказа ФСТЭК России от 25.12.2017 №239 | Проект Политики обеспечения действий в нештатных ситуациях | - | ||
8.8 | Утверждение Политики обеспечения действий в нештатных ситуациях | Ген директор | после выполнения п.8.8 | Политика обеспечения действий в нештатных ситуациях | - |
[1] Постановление Правительства РФ от 08.02.2018 №127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
[2] п.15 ПП РФ от 08.02.2018 №127: максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ
[3] Осуществляется как в отношении значимых объектов КИИ, так и в отношении объектов КИИ не являющимися таковым
[4] Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
[5] Опубликованный проект приказа ФСБ России «Об утверждении порядка информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, реагировании на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ»
[6] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.