Разработка документов по категорированию объектов КИИ

Определение объектов КИИ (информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляет управление, контроль или мониторинг критических процессов.

Категорирование КИИ — это оценка значимости компьютерных систем и сетей, которые необходимы для бесперебойной работы объекта.

Категорирование проводит комиссия организации, созданной руководителем по приказу.
Результаты работы комиссии утверждает ФСТЭК России.
Итоговая категория позволяет понять, насколько сильно нужно защищать объект от взломов и утечек данных. Чем выше категория, тем будет больше требований к безопасности системы или сети (по Приказу ФСТЭК №239). Согласно ему организация должна защищать объект после согласования категории со ФСТЭК.

• Анализ исходных данных и подготовка комиссии

Документы: приказ о создании комиссии, положение о комиссии

• Инвентаризация и оценка технологических процессов

Документы: реестр ИС, ИТКС, АСУ; перечень объектов КИИ

• Категорирование и оформление результатов

Документы: акт категорирования, протоколы заседаний

• Взаимодействие с госорганами: ФСТЭК подтверждает правильность присвоенной категории

Документы для ФСТЭК: форма сведений об объектах КИИ, акт категорирования

Сотрудник, назначенный по приказу ответственным за соблюдение требований по информационной безопасности на объекте должен быть обучен и иметь удостоверение о повышении квалификации

Всего можно присвоить 3 категории критической информационной инфраструктуры: III, II, I. Самая высокая — первая.
Иногда после оценки по критериям из ПП РФ №127 объект не получает категорию. В таком случае его не относят к критически важному, но результаты оценки всё равно нужно направить во ФСТЭК России.