Этапы работ по инвентаризации и категорированию объектов КИИ
Назначение
Заголовок раздела «Назначение»Краткое описание этапов и процедур инвентаризации, категорирования и обеспечения безопасности значимых объектов КИИ (ЗОКИИ) по приказу организации. Материал ориентирован на членов комиссии, руководителей подразделений, ИБ‑подразделение и специалистов по взаимодействию с регуляторами.
Роли и ответственность
Заголовок раздела «Роли и ответственность»- Комиссия по КИИ: инвентаризация, категорирование, подготовка актов и сведений.
- Руководитель организации/подразделения: утверждение перечней и актов, контроль сроков.
- ДЗГТИ Росатома: согласование перечней и сведений до направления в ФСТЭК России.
- Центральный аппарат ФСТЭК России: прием сведений о перечнях и категориях ЗОКИИ.
- ГосСОПКА: подключение и обмен информацией по инцидентам безопасности.
Этапы работ
Заголовок раздела «Этапы работ»| Этап | Ключевые действия | Сроки (если есть) | Результаты |
|---|---|---|---|
| 1. Подготовительный | Создание комиссии; инвентаризация систем и сетей (включая удаленные объекты); формирование и согласование перечня объектов КИИ; сбор сведений; оформление актов категорирования | Перечень направляется в ФСТЭК в течение 5 рабочих дней после утверждения; акты и сведения — в течение 10 рабочих дней после утверждения | Утвержденный перечень объектов КИИ; акты категорирования; согласованные материалы с ДЗГТИ |
| 2. Анализ и аудит | Проверка соответствия ЗОКИИ требованиям ФСТЭК 239; внутренний аудит | — | Отчеты о соответствии/несоответствии |
| 3. Планирование и модернизация | Разработка планов по обеспечению безопасности, модернизации; внедрение сертифицированных СЗИ; актуализация ОРД | — | План мероприятий и модернизации; обновленные ОРД |
| 4. Взаимодействие с ГосСОПКА | Организация подключения; информирование ДЗГТИ; эксплуатационные процедуры обмена сообщениями | — | Подключение к ГосСОПКА; отлаженные процедуры реагирования |
| Для новых/модернизируемых систем | Повтор категорирования, согласование сведений с ДЗГТИ, уведомление ФСТЭК | По действующим срокам направления сведений | Актуальные категории и уведомления регулятору |
Сроки и направления в ФСТЭК
Заголовок раздела «Сроки и направления в ФСТЭК»| Документ/сведения | Предварительное согласование | Куда направлять | Срок |
|---|---|---|---|
| Перечень объектов КИИ | ДЗГТИ Росатома | Центральный аппарат ФСТЭК России | 5 рабочих дней после утверждения |
| Акты категорирования и сведения о категориях (в т.ч. об отсутствии необходимости присвоения) | ДЗГТИ Росатома | Центральный аппарат ФСТЭК России | 10 рабочих дней после утверждения |
Примечания:
- Категорирование выполняется по Правилам из Постановления Правительства РФ N 127.
- Форма направления сведений — по приказу ФСТЭК N 236.
Процедура инвентаризации
Заголовок раздела «Процедура инвентаризации»- Определить контур управления субъекта КИИ и перечень систем, сетей и удаленных объектов.
- Для каждого объекта указать назначение и категорию обрабатываемой информации.
- Согласовать перечень с ДЗГТИ Росатома.
- Утвердить перечень руководителем.
- Направить перечень в Центральный аппарат ФСТЭК России в течение 5 рабочих дней после утверждения.
Оформление актов категорирования и уведомление ФСТЭК
Заголовок раздела «Оформление актов категорирования и уведомление ФСТЭК»- Проводить категорирование по ПП РФ N 127; сведения оформлять по приказу ФСТЭК N 236.
- Акты и сопроводительные сведения предварительно согласовать с ДЗГТИ.
- Утвердить акты руководителем.
- Направить в Центральный аппарат ФСТЭК России в течение 10 рабочих дней после утверждения.
- При принятии решения об отсутствии необходимости присвоения категории направить соответствующие сведения в те же сроки.
Планирование, модернизация и ОРД
Заголовок раздела «Планирование, модернизация и ОРД»- Сформировать план устранения несоответствий требованиям ФСТЭК 239.
- Запланировать доработку ПО, ПАК и систем защиты, внедрение дополнительных сертифицированных СЗИ.
- Обновить организационно‑распорядительные документы по жизненному циклу ЗОКИИ.
- Для новых/модернизируемых систем повторить цикл: категорирование — согласование — уведомление ФСТЭК.
Взаимодействие с ГосСОПКА
Заголовок раздела «Взаимодействие с ГосСОПКА»- Организовать подключение ЗОКИИ к сервисам ГосСОПКА.
- Обеспечить обмен информацией об инцидентах и индикаторах компрометации.
- Информировать ДЗГТИ о статусе взаимодействия и результатах.
Вопросы и ответы
Заголовок раздела «Вопросы и ответы»Какие этапы работ по инвентаризации, категорированию и обеспечению безопасности значимых объектов КИИ предусмотрены приказом?
Заголовок раздела «Какие этапы работ по инвентаризации, категорированию и обеспечению безопасности значимых объектов КИИ предусмотрены приказом?»Приложение 3 устанавливает четыре этапа: 1) подготовительный — создание комиссии, составление и согласование перечня объектов КИИ, сбор сведений и оформление актов категорирования; 2) анализ и аудит — проверка соответствия значимых объектов требованиям ФСТЭК 239 и проведение внутреннего аудита; 3) планирование и модернизация — разработка и реализация планов по обеспечению безопасности, модернизации и внедрению сертифицированных средств защиты, а также актуализация ОРД; 4) взаимодействие с ГосСОПКА — организация подключения и информирование ДЗГТИ. Для новых и модернизируемых систем предусмотрено повторение действий по категорированию и уведомлению ФСТЭК. Эти этапы выполняются последовательно, с фиксацией результатов на каждом шаге.
Как провести инвентаризацию и согласование перечня объектов КИИ?
Заголовок раздела «Как провести инвентаризацию и согласование перечня объектов КИИ?»Комиссия определяет перечень всех систем и сетей в контуре управления субъекта КИИ, включая удалённые объекты. Для каждого объекта фиксируются назначение и категория обрабатываемой информации. Перечень согласуется с ДЗГТИ Росатома, утверждается руководителем и направляется в Центральный аппарат ФСТЭК в течение 5 рабочих дней после утверждения. Рекомендуется вести учет в форме реестра с идентификаторами и ответственными лицами. Это упростит дальнейшее категорирование и аудит.
Как оформить акты категорирования и направить сведения в ФСТЭК?
Заголовок раздела «Как оформить акты категорирования и направить сведения в ФСТЭК?»Категорирование проводится по Правилам из ПП РФ N 127, а оформление сведений — по форме приказа ФСТЭК N 236. Акты утверждаются руководителем и направляются в Центральный аппарат ФСТЭК в течение 10 рабочих дней после утверждения, с предварительным согласованием с ДЗГТИ. Сведения о присвоении категорий или об отсутствии необходимости присвоения также направляются в ФСТЭК в эти сроки. Документы следует готовить пакетно по объектам, чтобы избежать дублирования согласований. Контроль версий и журнал изменений обязателен.
Что включить в план модернизации и какие документы обновить?
Заголовок раздела «Что включить в план модернизации и какие документы обновить?»По результатам анализа соответствия требованиям ФСТЭК 239 формируется план мероприятий по обеспечению безопасности значимых объектов КИИ и, при необходимости, план модернизации. План охватывает доработку программного обеспечения, программно‑аппаратных комплексов и систем защиты, а также внедрение дополнительных сертифицированных средств. Одновременно вносятся изменения во внутренние организационно‑распорядительные документы, регламентирующие жизненный цикл значимых объектов КИИ. Приоритизацию мероприятий определяют по уровню риска и влиянию на показатели безопасности. Ответственные и сроки фиксируются в дорожной карте.
Источники
Заголовок раздела «Источники»- [Источник: Приказ Госкорпорации Росатом от 10.05.2018 N 1_467-П.docx](/sources/Приказ Госкорпорации Росатом от 10.05.2018 N 1_467-П.docx)