Защита субъектов и объектов КИИ

Главные задачи, которые стоят перед субъектами КИИ для выполнения требований Закона, являются:

• Формирование Комиссии по категорированию;
• Определение перечня объектов КИИ;
• Предоставление утвержденного перечня объектов КИИ во ФСТЭК России;
• Категорирование объектов КИИ в соответствии с показателями критериев значимости и их значений, установленных Правительством Российской Федерации;
• Предоставление во ФСТЭК России сведений о результатах категорирования объектов КИИ.

Далее, на основании результатов категорирования, субъекты КИИ должны будут выполнить соответствующие требования ФСТЭК России, ФСБ России и/или Минкомсвязи России по обеспечению безопасности принадлежащих им значимых объектов КИИ.
Правила категорирования объектов КИИ и перечень показателей критериев значимости объектов КИИ утверждены постановлением Правительства РФ N127 от 08.02.2018 г. (далее – ПП РФ №127).

На данный момент, с 2019 года субъекты КИИ начнут подвергаться проверкам со стороны отраслевых регуляторов и местных органов исполнительной власти, которые будут проверять выполнение требований Закона.

ФСТЭК России неоднократно озвучивал, что определение принадлежности организации к категории «субъектов КИИ» осуществляется на основании анализа учредительных документов, кодов ОКВЭД и выданных организации лицензий и иных разрешительных документов. Поэтому всем субъектам КИИ, не стоит откладывать выполнение требований Закона и ПП РФ №127.

Что предпринять?

• Определить, являетесь ли вы субъектом КИИ

Сверить состав кодов ОКВЭД и лицензий и иных разрешительных документов, выданных организации, с составом сфер деятельности, приведенным в п.8) ст.2 Закона.

• Сформировать Комиссию по категорированию

Комиссия по категорированию создается приказом руководителя субъекта КИИ. Требования к составу комиссии приведены в п.11 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127.

• Определите перечень объектов КИИ

Выявить все управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организации.

Далее, из всех этих процессов нужно выделить критические процессы и определить объекты КИИ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управления, контроль или мониторинг критических процессов 

Получившийся перечень объектов КИИ мы рекомендуем утвердить

Направить утвержденный перечень объектов КИИ в Центральный аппарат ФСТЭК России

Утвержденный перечень объектов КИИ необходимо направить во ФСТЭК России не позднее, чем через 5 рабочих дней с даты утверждения.

• Провести категорирование объектов КИИ

Для всех объектов КИИ, включенных в утвержденный перечень, необходимо провести категорирование в срок, не превышающий одного года с даты утверждения перечня объектов КИИ.

• Направить сведения о результатах категорирования в Центральный аппарат ФСТЭК России

Сведения о результатах присвоения объектам КИИ одной из категорий значимости (или об отсутствии необходимости присвоения одной из таких категорий), оформленные в соответствии с требованиями Приказа ФСТЭК России №236 от 22.12.217 г., необходимо направить во ФСТЭК России не позднее, чем через 10 календарных дней с даты завершения категорирования.

Так как данный процесс является довольно долгим и может вызвать ряд затруднений, специалисты нашей организация, готовы помочь вам с проведением всех необходимых мероприятий, связанных с КИИ, от выделения объектов КИИ до получения уведомления во ФСТЭК, что вы являетесь объектом КИИ.

Ознакомьтесь так же с нашей презентацией, посвященной Критической Информационной Инфраструктуре.

По итогу мероприятий по КИИ, вы сможете не бояться проверки регуляторов и быть уверенны, что ваша критическая инфраструктура находится под защитой.