Категорирование объектов КИИ регулируется Постановлением Правительства РФ № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры…» (с изменениями). Это первая обязательная задача любого субъекта КИИ после идентификации объектов.
Цель категорирования — определить, насколько серьёзными могут быть последствия компьютерного инцидента на объекте, и в зависимости от этого присвоить категорию значимости (1, 2, 3) или признать объект незначимым.
Этапы процедуры
- Создание комиссии по категорированию приказом руководителя субъекта КИИ.
- Идентификация объектов — перечень информационных систем, сетей связи, АСУ, относящихся к КИИ.
- Анализ возможных последствий по показателям значимости.
- Сопоставление с критериями категорий (1, 2, 3).
- Принятие решения комиссии и оформление акта категорирования.
- Направление сведений во ФСТЭК России (через личный кабинет на портале ФСТЭК).
Срок категорирования с момента включения в перечень субъектов КИИ — установлен подзаконными актами; при изменениях, влияющих на категорию, проводится пересмотр.
Показатели значимости
В приложении к ПП № 127 перечислены пять групп показателей:
- Социальная значимость — последствия для здоровья и жизни людей, прекращения предоставления государственных услуг, нарушений в социально значимых сферах.
- Политическая значимость — последствия для интересов РФ во внешней политике, для деятельности органов государственной власти.
- Экономическая значимость — материальный ущерб, последствия для финансово-кредитной системы, для деятельности субъекта КИИ.
- Экологическая значимость — последствия для окружающей среды.
- Значимость для обеспечения обороны страны, безопасности государства и правопорядка.
Для каждого показателя установлены количественные пороги, при достижении которых объект относится к 1, 2 или 3 категории. Применяется максимальная категория из всех показателей.
Категории значимости и требования
| Категория | Уровень последствий | Базовый набор требований |
|---|---|---|
| 1 категория | Самый высокий: масштабные/чрезвычайные последствия для государства | Максимальный комплекс СЗИ, физическая защита, полный спектр мер по приказу № 239, ГосСОПКА, повышенные требования к экранированию и контролю утечек |
| 2 категория | Высокий: значительные последствия для региона/отрасли | Расширенный комплекс СЗИ, физическая защита помещений, ГосСОПКА |
| 3 категория | Средний: существенные последствия для организации/группы потребителей | Базовый комплекс СЗИ, контроль доступа в помещения с СВТ, ГосСОПКА |
| Незначимый | Объекты КИИ без присвоенной категории | Базовые меры по 187-ФЗ; меры защиты — на усмотрение субъекта |
Что делать после категорирования
Действия зависят от полученной категории:
- Разработать или актуализировать модель угроз и модель нарушителя.
- Сформировать систему защиты значимого ОКИИ с учётом мер по приказу ФСТЭК № 239.
- Подобрать сертифицированные ФСТЭК/ФСБ средства защиты (МСЭ, СОВ, СКЗИ, антивирусы).
- Реализовать меры физической защиты — СКУД, СОТ, ОПС, контроль доступа в серверные.
- Заключить соглашение и подключиться к ГосСОПКА через НКЦКИ.
- Обеспечить регулярное обучение персонала и проведение учений.
Приказ ФСТЭК № 239 — структура мер
Меры защиты для значимых ОКИИ объединены в группы:
- ИАФ — идентификация и аутентификация;
- УПД — управление доступом;
- ОПС — ограничение программной среды;
- ЗНИ — защита машинных носителей информации;
- АУД — аудит безопасности;
- АВЗ — антивирусная защита;
- СОВ — обнаружение вторжений;
- ОЦЛ — контроль (анализ) защищённости;
- ЗСВ — защита среды виртуализации;
- ЗТС — защита технических средств;
- ЗИС — защита информационной системы и её компонентов;
- ЗПС — защита помещений и средств;
- ИНЦ — управление инцидентами;
- УКФ — управление конфигурацией;
- ОДТ — обеспечение действий в нештатных ситуациях.
Типичные ошибки при категорировании
- Идентификация только «крупных» ИС, без учёта АСУ ТП и технологических сетей.
- Занижение категории — попытка «не присваивать» 1-ю категорию объектам, фактически ей соответствующим.
- Отсутствие документирования логики решения комиссии (только итоговый акт без обоснования).
- Несвоевременная передача сведений во ФСТЭК.
- Не пересмотрена категория после существенных изменений ИТ-инфраструктуры.
Контроль ФСТЭК
ФСТЭК проводит проверки выполнения требований 187-ФЗ. Помимо документарного контроля, инспекторы могут провести инструментальную проверку соответствия СЗИ и физической защиты модели угроз. Результаты проверок — основание для предписаний и при грубых нарушениях — для административных санкций.
КОНТУР-ЗЕТ — ваш партнёр в реализации требований
ООО «КОНТУР-ЗЕТ» — аккредитованная проектная и монтажная организация с опытом более 15 лет на объектах транспортной инфраструктуры, ТЭК и промышленности. Мы выполняем полный цикл работ: от обследования и разработки проектной документации до пусконаладки и сдачи систем надзорным органам.
В части темы статьи мы предлагаем:
- Сопровождение процедуры категорирования объектов КИИ, разработку моделей угроз, проектирование комплекса защиты в соответствии с приказами ФСТЭК — с учётом действующих норм и актуальной редакции нормативной базы.
- Аудит существующих систем на соответствие требованиям с выдачей письменного заключения и дорожной карты по приведению в норму.
- Сопровождение приёмки объекта надзорными органами (МЧС, Ростехнадзор, Росгвардия, ФСТЭК, ФСБ — в зависимости от типа объекта).
- Гарантийное и постгарантийное обслуживание с регламентным ТО и оперативным реагированием.
Если ваш объект готовится к проектированию, реконструкции или плановой проверке — обращение к опытному подрядчику на раннем этапе кратно снижает риски срыва сроков и претензий со стороны контролирующих органов.