Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Создание комиссии по категорированию объектов КИИ

Постоянно действующая комиссия по категорированию объектов критической инфраструктуры создается для выявления критических процессов и объектов критической информационной инфраструктуры, которые обеспечивают выполнение и (или) мониторинг критических процессов и их категорирования.
 
Вариант выполнения меры - выпуск приказа который включает: 
  1. состав комиссии;
  2. положение о работе комиссии;
  3. Требование к комиссии провести обследование и категорирование КИИ
Общий алгоритм действий:
  1. Согласовать состав комиссии
    Требования к составу комиссии установлены в п. 11 Постановления Правительства РФ от 8 февраля 2018 г. N 127 
  2. Подготовить приказ и положение о комиссии на базе шаблонов
    В Заметках к мере приведены шаблоны Приказа о создании комиссии и Положения о комиссии.
  3. Выпустить/утвердить приказ
  4. Довести приказ до членов комиссии
В SECURITM можно вести учет членов комиссий, для этого 

  1. добавить в команду Тип актива Группа \ Комиссия по категорированию объектов критической информационной инфраструктуры
  2. Создать актив Комиссия по категорированию объектов КИИ
    (или несколько активов, для каждой созданной комиссии)
  3. Привязать созданный актив (комиссию) к данной защитной мере (вкладка Инструменты)
  4. Создать для каждого члена комиссии соответствующий актив типа Человек \ Работник
  5. Указать для созданных работников место расположения - Комиссия по категорированию объектов КИИ
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Федеральный Закон № 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации":
Статья 7 п.4
4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Заметки

2
2 года назад

Шаблон приказа о создании комиссии по категорированию объектов критической информационной инфраструктуры

                     
П Р И К А З
О создании комиссии по категорированию объектов критической информационной инфраструктуры
 
Во исполнение Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
приказываю:
  1. Создать комиссию по категорированию объектов критической информационной инфраструктуры (далее – Комиссия) и утвердить в следующем составе:
    Председатель Комиссии – ФИО, должность.
    Заместитель председателя Комиссии – ФИО, должность.
    Секретарь Комиссии – ФИО, должность.
    Члены Комиссии:
    ФИО - должность.
    ФИО - должность.
    ФИО - должность.
  2. Утвердить Положение о комиссии по категорированию объектов критической информационной инфраструктуры (Приложение № 1).
  3. Комиссии в срок до "XX" ХХ 202X г. завершить обследование (выявление критических процессов и объектов критической информационной инфраструктуры, которые обеспечивают выполнение и (или) мониторинг критических процессов), и при необходимости категорирование объектов критической информационной инфраструктуры, руководствуясь Положением о комиссии по категорированию объектов критической информационной инфраструктуры.
  4. Руководителям структурных подразделений предоставлять все необходимые сведения по запросу Комиссии.
  5. Контроль исполнения приказа возложить на должность ФИО.
 
Генеральный директор                                                                                                  ФИО

2 года назад

Шаблон Положения о комиссии по категорированию объектов критической информационной инфраструктуры


ПОЛОЖЕНИЕ
о комиссии по категорированию объектов критической информационной инфраструктуры

  1. Общие положения
    1. Настоящее положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее – Положение) разработано с целью выполнения требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры» и подзаконных нормативно-правовых актов.
    2. Комиссия по категорированию объектов критической информационной инфраструктуры ООО "Моя Компания" (далее – Комиссия) является постоянно действующим, совещательным и консультативным органом, созданным в целях установления категории значимости (категорирования) объектов критической информационной инфраструктуры (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления технологическими процессами, в том числе с числовым программным управлением), которые принадлежат ООО "Моя Компания" (далее – субъект КИИ) на праве собственности, аренды или ином законном основании.
    3. Категорированию подлежат объекты критической информационной инфраструктуры (далее – ОКИИ), которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ и принадлежат субъекту КИИ или дочерним (зависимым) обществам, филиалам, представительствам субъекта КИИ, на праве собственности, аренды или на ином законном основании (договор пользования, договор на право хозяйственного ведения, договор на право оперативного управления и т. п.).
    4. Определение категорий значимости ОКИИ (далее - категория значимости) осуществляется на основании перечня показателей критериев значимости ОКИИ и их значений, утвержденного постановлением Правительства Российской Федерации от 8.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
    5. Комиссия по категорированию подлежит расформированию в следующих случаях:
      1. Прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных пунктом 8 статьи 2 федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
      2. Ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.
  2. Основные задачи Комиссии
    Основными задачами Комиссии являются:
    1. Определение управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.
    2. Выявление наличия критических процессов.
    3. Выявление ОКИИ (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления технологическими процессами, в том числе с числовым программным управлением), которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
    4. Формирование перечня ОКИИ, подлежащих категорированию.
    5. В течение 10-ти рабочих дней после утверждения перечня ОКИИ, подлежащих категорированию, отправка указанного перечня в центральный аппарат ФСТЭК России с учетом информационного сообщения ФСТЭК России от 17.04.2020 г. № 240/84/611.
    6. Рассмотрение возможных действий нарушителя в отношении ОКИИ, а также иных источников угроз безопасности информации.
    7. Анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на ОКИИ. При этом учитываются наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на ОКИИ, например, без учета цифровых устройств противоаварийной автоматики и системы резервного копирования информации.
    8. Принятие решений о порядке категорирования ОКИИ в ситуации, когда критический процесс зависит от иных критических процессов, в том числе критических процессов иных субъектов критической информационной инфраструктуры.
    9. Оценка в соответствии с перечнем показателей критериев значимости, утвержденным Постановлением Правительства РФ от 08.02.2018 № 127, масштаба возможных последствий в случае возникновения компьютерных инцидентов на ОКИИ. При этом должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на ОКИИ, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    10. Присвоение каждому из ОКИИ одной из категории значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.
    11. Оформление акта (актов) категорирования, который должен содержать сведения об ОКИИ, сведения о присвоенной категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких ОКИИ.
    12. В течение 10-ти рабочих дней со дня утверждения акта (актов), направление сведений в центральный аппарат ФСТЭК России по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
    13. В течение 10-ти рабочих дней после утверждения требований к создаваемому ОКИИ, направление сведений в центральный аппарат ФСТЭК России по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
    14. В течение 10-ти рабочих дней после ввода ОКИИ в эксплуатацию (принятия на снабжение), направление сведений в центральный аппарат ФСТЭК России по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
    15. Согласование форм направления сведений со ФСТЭК России в ходе проверки регулятором соблюдения порядка и правильности категорирования.
    16. Получение уведомления от ФСТЭК России о внесении в реестр значимых ОКИИ (решение принимается в течении 30-ти дней со дня получения ФСТЭК России сведений от субъекта КИИ).
    17. В случае изменения категории значимости, направление сведений о результатах пересмотра категории в центральный аппарат ФСТЭК России.
    18. Координация и контроль деятельности комиссий по категорированию в филиалах (представительствах).
      Не реже чем один раз в 5 лет, а также в случаях изменения показателей критериев значимости ОКИИ или их значений, ввода в эксплуатацию новых ОКИИ, изменения бизнес-процессов и (или) структурно-функциональных характеристик ОКИИ, осуществлять оценку критичности ОКИИ и пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий.
  3. Состав и организация деятельности Комиссии
    1. Состав Комиссии утверждается генеральным директором ООО "Моя компания". Комиссия состоит из председателя Комиссии, заместителя председателя Комиссии, секретаря Комиссии и членов Комиссии.
    2. К участию в работе Комиссии по согласованию могут привлекаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере здравоохранения.
    3. Заседание Комиссии проводится в течение одного года с даты ее создания, в случаях, описанных в п. 2.2.19 настоящего Положения, а также каждые 5 лет с целью пересмотра результатов категорирования.
    4. В случаях ввода в эксплуатацию или вывода из эксплуатации ОКИИ, сроки заседания устанавливаются отдельно для каждого конкретного случая.
    5. Комиссию возглавляет председатель Комиссии. В отсутствие председателя Комиссии полномочия председателя осуществляет заместитель председателя Комиссии.
    6. Председатель комиссии:
      -        осуществляет руководство деятельностью Комиссии, определяет повестку дня, сроки, порядок, место и время проведения заседания Комиссии, рассмотрения вопросов на ее заседаниях;
      -        председательствует на заседаниях Комиссии;
      -        формирует на основе предложений членов Комиссии план работы и повестку дня очередного (внеочередного) заседания;
      -        дает поручения членам Комиссии;
      -        подписывает протоколы и акты по итогам заседаний Комиссии;
      -        и другие задачи, описанные в разделе 2 настоящего положения.
    7. Секретарь комиссии:
      -        обеспечивает подготовку заседания Комиссии, составляет проект повестки дня заседания, организует подготовку материалов к заседаниям, а также проектов соответствующих решений;
      -        по телефонной связи и по электронной почте уведомляет членов Комиссии о месте, времени проведения и повестке дня очередного заседания Комиссии не менее чем за 1 день до даты его проведения, обеспечивает членов Комиссии необходимыми материалами;
      -        исполняет поручения председателя Комиссии;
      -        ведет и подписывает протоколы и акты заседаний Комиссии;
      -        обеспечивает визирование оформленных документов всеми членами Комиссии;
      -        обеспечивает направление экземпляров документов в центральный аппарат ФСТЭК России, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере здравоохранения.
    8. Члены Комиссии:
      -        рассматривают исходные данные об ОКИИ;
      -        принимают участие в подготовке вопросов, выносимых на заседание Комиссии;
      -        обследуют ОКИИ для установления степени актуальности угроз безопасности информации и возможных последствий их реализации;
      -        вносят предложения по плану работы, повестке дня заседаний и порядку обсуждения вопросов, участвуют в подготовке материалов к заседаниям, а также проектов решений Комиссии;
      -        визируют оформленные документы;
      -        выполняют задачи, описанные в разделе 2 настоящего Положения.
    9. В случае отсутствия (временная нетрудоспособность, отпуск, командировка и прочее) члена Комиссии, заместителя председателя Комиссии и секретаря Комиссии, участие в работе Комиссии принимает лицо, официально исполняющее обязанности (полномочия) по должности отсутствующего.
    10. Заседания Комиссии правомочны, если на них присутствует не менее половины его членов, включая председательствующего на заседании Комиссии.
    11. Решения Комиссии принимаются простым большинством голосов путем открытого голосования или на основе общего согласия без проведения голосования, если против решения никто не выступает, либо при исключении мнения немногих несогласных участников если отсутствуют принципиальные возражения у большинства членов комиссии. 
    12. В случае равенства голосов решающим является голос председательствующего на заседании Комиссии. В случае несогласия с принятым решением член Комиссии вправе изложить в письменном виде свое мнение, которое подлежит обязательному приобщению к протоколу заседания Комиссии.
    13. Голосование с целью принятия решений по вопросам, выносимым на заседание Комиссии может осуществляться членами комиссии заочно по корпоративной электронной почте (@mycompany.local).
    14. Решения Комиссии оформляются протоколом, который подписывается лицом, председательствующим на заседании Комиссии и секретарем Комиссии.
    15. Копии подписанного протокола заседания Комиссии направляются всем членам Комиссии в течение 3-х рабочих дней после соответствующего заседания Комиссии.
    16. Результаты работы Комиссии оформляются актом, который составляется в одном экземпляре и подписывается всеми членами Комиссии.