Категорирование и защита КИИ под ключ | NLSec

Категорирование и защита КИИ

Категорирование и защита КИИ

Помогаем определить, относится ли организация к субъектам КИИ, выявить объекты критической информационной инфраструктуры, подготовить материалы категорирования, обосновать категорию значимости или отсутствие значимых объектов и перейти к практической защите.

187-ФЗ
ПП РФ №127
Приказ ФСТЭК №239
Категорирование объектов КИИ
Защита значимых объектов

Когда это актуально

  • организация работает в энергетике, транспорте, связи, промышленности, здравоохранении, финансах или другой критичной сфере;
  • есть ИС, АСУ ТП, сети связи или программно-аппаратные комплексы, влияющие на важные процессы;
  • нужно понять, есть ли объекты КИИ и требуется ли категорирование;
  • после категорирования нужно внедрить меры защиты, а не только подготовить документы.

Что такое категорирование КИИ

Категорирование объектов КИИ — это работа, которая помогает определить, есть ли у организации объекты критической информационной инфраструктуры, насколько они значимы и какие требования к защите нужно выполнять. Это не простая формальность: ошибка на этом этапе может привести к неправильной категории, лишним расходам или, наоборот, к незакрытым требованиям регулятора.

В рамках услуги NLSec анализирует применимость требований 187-ФЗ, деятельность организации, критичные процессы, информационные системы, автоматизированные системы управления, сети связи и программно-аппаратные комплексы. По итогам работ формируется перечень объектов КИИ, материалы категорирования, акт и обоснование категории значимости или обоснование отсутствия значимых объектов. Если объект признан значимым, отдельно формируется маршрут защиты: модель угроз, требования, меры, документы, СЗИ, контроль и сопровождение.

Результат работ — комплект материалов, на основании которых организация может документально подтвердить решение по категории значимости или отсутствию значимых объектов КИИ.

Нормативная база КИИ

Ниже — основные документы, на которые опираются работы по категорированию и защите КИИ. Они помогают понять, какие требования применимы к организации, объектам и дальнейшим мерам защиты.

Документ Что регулирует Как связан с услугой
187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” Задает правовую основу безопасности КИИ, понятия субъектов и объектов КИИ, обязанности и общий контур регулирования. Используется для первичной оценки применимости требований и определения, может ли организация относиться к субъектам КИИ.
Постановление Правительства РФ №127 Утверждает правила категорирования объектов КИИ и перечень показателей критериев значимости. Используется при выявлении объектов, анализе показателей значимости и подготовке материалов категорирования.
Приказ ФСТЭК России №239 Устанавливает требования по обеспечению безопасности значимых объектов КИИ. Применяется после категорирования, если объект признан значимым и нужно проектировать меры защиты.
Внутренние документы субъекта КИИ Закрепляют процессы, владельцев объектов, состав систем, порядок категорирования, защиты и актуализации данных. Нужны для управляемого статуса КИИ внутри организации и подтверждения принятых решений.

Что входит в акт категорирования КИИ

Акт категорирования — один из ключевых документов проекта. Он должен показывать не только итоговое решение, но и логику, по которой комиссия пришла к выводу о категории значимости или об отсутствии значимых объектов КИИ.

Раздел акта Что фиксируется Зачем это нужно
Состав комиссии Участники категорирования, роли, ответственность и основание для проведения работ. Показывает, кто принимал решение и кто отвечает за исходные данные.
Перечень процессов Критичные, управленческие, технологические и обеспечивающие процессы организации. Помогает связать информационные системы с реальной деятельностью субъекта КИИ.
Перечень объектов КИИ ИС, ИТКС, АСУ и иные объекты, которые обеспечивают критичные процессы. Фиксирует, какие объекты рассматривались комиссией, а какие не относятся к КИИ.
Анализ показателей значимости Социальные, политические, экономические, экологические и иные последствия нарушения работы объекта. Обосновывает категорию значимости или отсутствие оснований для присвоения категории.
Итоговое решение Категория значимости, отсутствие категории или отсутствие значимых объектов по результатам анализа. Дает документальное основание для дальнейших действий по защите или фиксации результата.
План дальнейших действий Подача сведений, подготовка мер защиты, актуализация перечня объектов и документов. Показывает, что делать после завершения категорирования.

Решение необходимо, если…

На старте важно ответить на практические вопросы: относится ли организация к субъектам КИИ, какие системы могут быть объектами КИИ, есть ли основания для категории значимости и какие действия нужны после категорирования.

01

Есть критичные ИС или АСУ ТП

Системы поддерживают производство, оказание услуг, технологические процессы, связь, управление или учет критичных операций.

02

Нужно понять, являетесь ли вы субъектом КИИ

Организация работает в потенциально значимой отрасли, но нет четкого понимания применимости требований 187-ФЗ.

03

Требуется выявить объекты КИИ

Нужно составить перечень объектов КИИ и понять, какие системы действительно влияют на критичные процессы.

04

Нужно обосновать категорию значимости

Требуется подготовить материалы категорирования, показатели значимости и аргументацию по выбранной категории.

05

Значимых объектов может не быть

Важно документально подтвердить отсутствие значимых объектов КИИ и корректно оформить позицию организации.

06

Нужна подготовка к проверке ФСТЭК

Есть предписание, внутренний аудит, запрос заказчика или необходимость проверить документы и меры защиты.

Если категория присвоена или не присвоена: что дальше

Главная ошибка — считать, что работа заканчивается актом категорирования. На практике после анализа есть два разных сценария.

Сценарий 1. Значимый объект КИИ выявлен

После присвоения категории нужно переходить к защите значимого объекта: модель угроз, требования, проектирование подсистемы защиты, подбор и внедрение мер, документы, контроль и сопровождение.

  • модель угроз;
  • требования и меры защиты;
  • подбор и внедрение СЗИ;
  • документы и эксплуатационные процессы;
  • контроль, мониторинг и актуализация.

Сценарий 2. Значимые объекты не выявлены

Если показатели значимости не достигаются, вывод нужно зафиксировать документально: перечень проанализированных объектов, показатели, обоснование отсутствия значимых объектов и порядок пересмотра при изменениях.

  • перечень рассмотренных объектов;
  • обоснование отсутствия значимых объектов;
  • материалы анализа показателей;
  • ответственные за актуализацию;
  • условия пересмотра категорирования.

Логика услуги

Категорирование и защита КИИ

Обоснованная категория КИИ

1. Процессы 1. Процессы
2. Объекты 2. Объекты
3. Документы 3. Документы
4. Защита 4. Защита

Работы по КИИ должны идти от бизнес-процессов и инфраструктуры к документам и мерам защиты, а не наоборот.

Что входит

Проверяем деятельность организации, отрасль, функции, процессы и основания для отнесения к субъектам критической информационной инфраструктуры.

Анализ применимости 187-ФЗ

Проверяем деятельность организации, отрасль, функции, процессы и основания для отнесения к субъектам критической информационной инфраструктуры.

Собираем сведения об информационных системах, АСУ ТП, сетях связи, программно-аппаратных комплексах и их роли в процессах.

Обследование инфраструктуры

Собираем сведения об информационных системах, АСУ ТП, сетях связи, программно-аппаратных комплексах и их роли в процессах.

Формируем перечень объектов КИИ и связываем каждый объект с процессом, функцией, владельцем и возможными последствиями нарушения работы.

Выявление объектов КИИ

Формируем перечень объектов КИИ и связываем каждый объект с процессом, функцией, владельцем и возможными последствиями нарушения работы.

Оцениваем критерии и показатели значимости, которые влияют на категорию объекта КИИ и дальнейшие требования к защите.

Анализ показателей значимости

Оцениваем критерии и показатели значимости, которые влияют на категорию объекта КИИ и дальнейшие требования к защите.

Готовим материалы категорирования, акт, обоснование категории значимости или обоснование отсутствия значимых объектов КИИ.

Акт категорирования КИИ

Готовим материалы категорирования, акт, обоснование категории значимости или обоснование отсутствия значимых объектов КИИ.

Помогаем подготовить сведения и комплект материалов, которые используются для взаимодействия с регулятором.

Направление сведений во ФСТЭК

Помогаем подготовить сведения и комплект материалов, которые используются для взаимодействия с регулятором.

Для значимых объектов определяем актуальные угрозы, сценарии нарушений и меры, которые нужны для защиты.

Модель угроз для КИИ

Для значимых объектов определяем актуальные угрозы, сценарии нарушений и меры, которые нужны для защиты.

Формируем практический план: документы, организационные меры, СЗИ, контроль, мониторинг, реагирование и сопровождение.

План мероприятий по защите

Формируем практический план: документы, организационные меры, СЗИ, контроль, мониторинг, реагирование и сопровождение.

Помогаем актуализировать материалы при изменении процессов, инфраструктуры, состава объектов или требований.

Сопровождение после категорирования

Помогаем актуализировать материалы при изменении процессов, инфраструктуры, состава объектов или требований.

Показатели значимости: что анализируется

Категория значимости объекта КИИ определяется не “на глаз”, а через последствия нарушения работы объекта. Ниже — понятная группировка того, что обычно анализируется на этапе категорирования.

Группа последствий Что проверяется Как это влияет на работу
Социальные последствия Влияние на жизнь и здоровье людей, доступность важных услуг, безопасность граждан. Помогает понять, насколько сбой системы может повлиять на людей и общественно значимые процессы.
Экономические последствия Возможный ущерб, простой, нарушение финансовых или производственных процессов. Используется при оценке критичности объекта для бизнеса, отрасли или экономики.
Экологические последствия Влияние на окружающую среду, опасные объекты, технологические процессы и аварийные сценарии. Особенно важно для промышленности, энергетики, транспорта и объектов с АСУ ТП.
Государственное управление и оборона Влияние на выполнение государственных функций, оборонные, управленческие и критичные сервисы. Помогает определить статус систем, связанных с государственными и общественно значимыми задачами.
Связь и зависимости Зависимости от других ИС, АСУ, сетей, подрядчиков, филиалов и внешних контуров. Позволяет не пропустить системы, которые сами выглядят вторичными, но обеспечивают критичный процесс.

Пример структуры результата

Точный состав документов зависит от объекта и результатов анализа, но заказчик должен понимать, что получает не “один акт”, а комплект взаимосвязанных материалов.

1. Исходные данные

Описание организации, процессов, систем, площадок, владельцев объектов, зависимостей и источников информации.

2. Перечень объектов

ИС, АСУ, сети и комплексы с привязкой к процессам, функциям, владельцам и возможным последствиям нарушения.

3. Анализ показателей

Оценка критериев значимости, пояснения, аргументы, ссылки на исходные данные и принятое решение.

4. Акт и обоснование

Результаты категорирования, категория значимости или обоснование отсутствия значимых объектов.

5. Сведения для взаимодействия

Материалы, которые могут потребоваться для внутреннего учета и взаимодействия с регулятором.

6. Следующий план действий

Что делать после категорирования: защита, актуализация, документы, ответственные, сроки и контроль.

Пример обезличенного результата по КИИ

Ниже пример того, как может выглядеть итог для организации после первичного этапа категорирования. Формулировки и состав материалов всегда зависят от отрасли, процессов и фактических объектов.

Перечень процессов

Зафиксированы критичные процессы, информационные системы, владельцы и зависимость от инфраструктуры.

Карточки объектов

Для каждого потенциального объекта описаны функции, данные, пользователи, взаимосвязи и последствия нарушения.

Акт категорирования

Подготовлено обоснование категории значимости или отсутствия оснований для присвоения категории.

План дальнейших мер

Показано, что нужно сделать после категорирования: документы, модель угроз, меры защиты и контроль.

Что получает заказчик

Понятный вывод: является ли организация субъектом КИИ и какие требования применимы.

Понимание статуса КИИ

Понятный вывод: является ли организация субъектом КИИ и какие требования применимы.

Список систем, сетей и комплексов, связанных с критичными процессами.

Перечень объектов КИИ

Список систем, сетей и комплексов, связанных с критичными процессами.

Материалы категорирования, акт и аргументация по категории значимости.

Обоснованная категория

Материалы категорирования, акт и аргументация по категории значимости.

Понимание, какие документы, СЗИ и процессы нужны после категорирования.

План защиты

Понимание, какие документы, СЗИ и процессы нужны после категорирования.

Документы и артефакты на выходе

Артефакт Что дает заказчику Когда нужен
Заключение о применимости требований КИИ Показывает, почему требования 187-ФЗ применимы или не применимы к организации. На старте проекта и при внутреннем аудите.
Перечень объектов КИИ Фиксирует ИС, АСУ, сети связи и комплексы, которые связаны с критичными процессами. Для проведения категорирования и дальнейшего контроля.
Материалы категорирования Содержат показатели значимости, исходные данные и обоснование категории. Для подтверждения результатов категорирования.
Акт категорирования КИИ Закрепляет принятое решение по объекту КИИ и категории значимости. По итогам анализа каждого объекта КИИ.
Обоснование отсутствия значимых объектов Документально подтверждает позицию организации, если значимые объекты не выявлены. Если объекты КИИ есть, но критерии значимости не достигаются.
Модель угроз и план мероприятий Показывает, какие угрозы актуальны и какие меры защиты нужно внедрить. После выявления значимых объектов КИИ.
Дорожная карта внедрения мер защиты Помогает перейти от документов к практическим работам, бюджету, срокам и ответственным. После категорирования и анализа текущей защищенности.

Что нужно от заказчика для старта

Чем точнее исходные данные, тем быстрее можно определить применимость требований, объекты и объем работ.

Сведения о деятельности

Отрасль, функции, услуги, производственные или управленческие процессы, критичные направления работы.

Перечень ИС, АСУ и сетей

Известные информационные системы, АСУ ТП, сети связи, комплексы, площадки, филиалы и владельцы систем.

Схемы и описания инфраструктуры

Архитектура, интеграции, взаимодействие с другими системами, каналы связи, внешние зависимости.

Документы и регламенты

Текущие политики, положения, регламенты эксплуатации, описания процессов, документы по ИБ.

Данные по последствиям сбоев

Какие последствия возникают при остановке систем, нарушении процессов, недоступности сервисов или потере управления.

Текущий статус КИИ

Проводилось ли категорирование ранее, есть ли переписка, акты, замечания, внутренние решения или проверки.

Типовые ошибки при категорировании КИИ

Эти ошибки часто приводят к спорным выводам, замечаниям и необходимости повторно пересматривать материалы.

Не связали объекты с процессами

Система попала в список сама по себе, без объяснения, какой критичный процесс она обеспечивает.

Забыли АСУ ТП или филиалы

В анализ попали офисные ИС, но не попали технологические системы, удаленные площадки или сети связи.

Не обосновали отсутствие значимых объектов

Вывод “значимых объектов нет” не подтвержден показателями, перечнем объектов и материалами анализа.

Использовали шаблонный акт

Документ не отражает реальные процессы, зависимости, последствия и особенности инфраструктуры.

Не назначили ответственность

Неясно, кто отвечает за объекты, актуализацию сведений, защиту и пересмотр категорирования.

Остановились на категорировании

Если объект значимый, нужно переходить к требованиям защиты, модели угроз, мерам, СЗИ и контролю.

Форматы работ

Точный формат определяется после первичного обсуждения. Ниже — типовые сценарии, чтобы проще оценить объем.

Предварительная оценка

Подходит, если неясно, применимы ли требования КИИ. Результат — краткое заключение, список вопросов и маршрут дальнейших действий.

Категорирование объектов КИИ

Полный цикл выявления объектов, анализа показателей, подготовки материалов, акта и обоснования категории или ее отсутствия.

Категорирование + защита

Для значимых объектов: категорирование, модель угроз, требования, план мер защиты, СЗИ, документы и дорожная карта внедрения.

Кому подходит услуга

Услуга подходит организациям, чья деятельность связана с критичными процессами, ИТ-инфраструктурой, промышленными системами, связью, транспортом, энергетикой, здравоохранением, финансами или другими сферами, где нарушение работы систем может иметь значимые последствия.

Энергетика и ТЭК

Компании с технологическими системами, диспетчеризацией, промышленными объектами и критичными процессами.

Транспорт и связь

Организации, где ИС, сети связи и автоматизированные системы влияют на оказание услуг и непрерывность работы.

Промышленность и АСУ ТП

Предприятия с производственными линиями, АСУ ТП, инженерными системами и технологическими процессами.

Здравоохранение и финансы

Организации, где сбой систем может повлиять на оказание услуг, данные, платежи или непрерывность операций.

Государственные и муниципальные организации

Учреждения с важными информационными системами, интеграциями, реестрами и сервисами для граждан.

Компании перед аудитом или проверкой

Когда нужно проверить текущее состояние, подготовить материалы и закрыть слабые места до внешней оценки.

Как мы работаем

1

Заявка и уточнение задачи

Уточняем отрасль, состав инфраструктуры, наличие ИС/АСУ/сетей связи, цели работ и сроки.

2

Сбор исходных данных

Запрашиваем сведения о процессах, системах, владельцах, документах, технологической инфраструктуре и интеграциях.

3

Анализ процессов и объектов

Определяем критичные процессы и связываем их с информационными системами, АСУ, сетями и комплексами.

4

Категорирование объектов КИИ

Оцениваем показатели значимости, готовим акт категорирования и обоснование категории или отсутствия значимых объектов.

5

Подготовка документов и сведений

Формируем комплект материалов, который можно использовать для внутреннего учета и взаимодействия с регулятором.

6

Переход к защите значимых объектов

Готовим модель угроз, план мероприятий, рекомендации по СЗИ и дорожную карту внедрения мер защиты.

Почему NLSec

Для КИИ важна не только юридическая аккуратность, но и понимание инфраструктуры, процессов и технической защиты.

Связываем документы с инфраструктурой

Не ограничиваемся шаблонным актом: анализируем процессы, системы, связи, владельцев и последствия нарушения работы.

Доводим до следующего этапа защиты

Если объект значимый, помогаем перейти к модели угроз, требованиям, мерам защиты, СЗИ и дорожной карте.

Учитываем отраслевую специфику

АСУ ТП, филиалы, сети связи, распределенная инфраструктура и внешние зависимости требуют отдельного анализа.

Формируем понятные артефакты

Заказчик получает не набор разрозненных файлов, а комплект материалов, обоснований и план дальнейших действий.

Помогаем избежать лишних затрат

Корректное категорирование помогает не внедрять избыточные меры и не пропустить обязательные.

Сопровождаем изменения

Категорирование нужно актуализировать при изменении процессов, объектов и инфраструктуры — это учитывается в подходе.

Как подтверждаем качество результата

В услугах по информационной безопасности важно заранее зафиксировать границы работ, ожидаемый результат, формат документов и ответственность сторон. Это снижает риск формальных отчетов, которые нельзя применить на практике.

Фиксируем рамки работ

До старта согласуются системы, процессы, документы, доступы, ограничения, сроки и ожидаемые артефакты.

Передаем применимые материалы

Отчеты, матрицы, модели, регламенты и рекомендации привязываются к реальной инфраструктуре и задачам заказчика.

Показываем следующие шаги

В результате есть не только описание текущего состояния, но и приоритеты: что сделать срочно, что планово, что проверить повторно.

Стоимость и сроки

Стоимость зависит от количества объектов, сложности инфраструктуры, отрасли, наличия АСУ ТП, готовности исходных данных и того, требуется ли только категорирование или еще и проектирование защиты КИИ.

Что влияет на стоимость

  • количество ИС, АСУ, сетей связи и программно-аппаратных комплексов;
  • количество критичных процессов и филиалов;
  • наличие промышленной инфраструктуры и АСУ ТП;
  • качество существующих схем, регламентов и описаний систем;
  • необходимость подготовки модели угроз и плана защиты;
  • нужна ли подготовка к проверке ФСТЭК или внутреннему аудиту.

Как получить расчет

Оставьте заявку и кратко опишите сферу деятельности, состав систем, наличие АСУ ТП, количество площадок и текущую стадию работ по КИИ. После уточнения вводных можно подготовить состав работ и коммерческое предложение.

Рассчитать стоимость

Важный момент: категорирование и защита — это разные этапы

Категорирование отвечает на вопрос, какие объекты КИИ есть у организации и какая у них категория значимости. Защита значимых объектов КИИ — следующий практический этап: модель угроз, требования, документы, СЗИ, контроль, мониторинг и сопровождение. Если объект признан значимым, одних материалов категорирования недостаточно.

FAQ

  • Что такое КИИ простыми словами?

    КИИ — это критическая информационная инфраструктура. К ней могут относиться информационные системы, сети связи, автоматизированные системы управления и программно-аппаратные комплексы, от которых зависят важные процессы организации или отрасли.

  • Кто является субъектом КИИ?

    Субъектом КИИ может быть организация, которая владеет, использует или эксплуатирует объекты критической информационной инфраструктуры. На практике это нужно проверять по деятельности организации, процессам, системам и роли инфраструктуры.

  • Чем субъект КИИ отличается от значимого объекта КИИ?

    Субъект КИИ — это организация. Значимый объект КИИ — это конкретная система, сеть или автоматизированный комплекс, которому по итогам категорирования присвоена категория значимости. У организации может быть статус субъекта КИИ, но при этом по итогам анализа могут отсутствовать значимые объекты.

  • Что делать, если значимых объектов КИИ нет?

    Нужно корректно оформить результаты анализа и обоснование отсутствия значимых объектов. Важно, чтобы вывод был не устным, а подтверждался перечнем процессов, объектов, показателями значимости и материалами категорирования.

  • Какие документы нужны по КИИ?

    Обычно готовятся заключение о применимости требований, перечень объектов КИИ, материалы категорирования, акт категорирования, обоснование категории или отсутствия значимых объектов, а для значимых объектов — модель угроз, документы и план мероприятий по защите.

  • Когда нужна модель угроз для КИИ?

    Модель угроз нужна для значимых объектов КИИ на этапе построения системы защиты. Она помогает определить актуальные угрозы и меры, которые должны быть реализованы для обеспечения безопасности объекта.

  • Нужно ли пересматривать категорирование?

    Да, если меняются процессы, инфраструктура, состав объектов, отраслевые условия, показатели значимости, площадки, владельцы систем или требования. Поэтому важно не только провести категорирование, но и закрепить порядок актуализации.

  • Сколько времени занимает категорирование КИИ?

    Срок зависит от количества систем, площадок, процессов, отраслевой специфики и готовности исходных данных. Небольшой объем можно проработать быстрее, но сложная инфраструктура с АСУ ТП, филиалами и большим количеством объектов требует детального обследования.

  • Можно ли начать с предварительной оценки?

    Да. Если непонятно, применимы ли требования КИИ, можно начать с предварительной оценки: проверить сферу деятельности, процессы, инфраструктуру и получить маршрут дальнейших действий.

Нужно понять, есть ли у вас объекты КИИ?

Оставьте заявку — уточним сферу деятельности, состав систем, критичные процессы и подготовим понятный план категорирования и защиты КИИ.