КИИ

 

  Основные НПА по КИИ

1. Федеральный закон от 26.07.2017 №187-ФЗ

«О безопасности критической информационной инфраструктуры Российской Федерации»

2. Приказ ФСТЭК России №235 от 21.12.2017

«Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»

3. Приказ ФСТЭК России №239 от 25.12.2017

«Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»

4. Постановление Правительства РФ №127 от 08.02.2018

«Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»

5. Указ Президента Российской Федерации от 30.03.2022 № 166

«О мерах по обеспечению технологической независимости и безопасности КИИ РФ»

Описание: документ устанавливает запрет на использование иностранного ПО на ЗО КИИ.

6. Указ Президента Российской Федерации от 14.04.2022 № 203

«О Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ»

7. Указ Президента Российской Федерации от 01.05.2022 г. № 250

«О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

8. Постановление Правительства РФ от 15.07.2022 № 1272

«Об утверждении типового положения о заместителе руководителя организации, ответственном за обеспечение информационной безопасности, и типового положения о структурном подразделении, обеспечивающем информационную безопасность организации»

9. Приказ ФСБ России от 19.07.2019 № 282

«Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

Порядок действий по категорированию объектов КИИ

1

Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ:

- План мероприятий

Форма плана

2

Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ).

3

Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ:

- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ;

Шаблон приказа

- Приказ о комиссии по категорированию объектов КИИ.

Шаблон приказа

4

Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752:

- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию;

Шаблон приказа

Методические рекомендации

Методические рекомендации МО

- Сопроводительное письмо в ФСТЭК России с перечнем объектов КИИ, подлежащих категорированию;

Пример письма

- Форма утверждения перечня объектов критической информационной инфраструктуры с ФСТЭК.

Форма перечня объектов

Перечень объектов в течение 10 рабочих дней после утверждения направить в печатном и электронном виде в ФСТЭК СЗФО России не нужно направлять во ФСТЭК СЗФО России. Ссылка на НПА;

При отсутствии объектов КИИ, сообщить данную информацию во ФСТЭК СЗФО России.

5

Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ - Модель угроз.

6

Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий:

- Акт категорирования объекта КИИ;

Шаблон акта

- Сведения о результатах присвоения объекту КИИ категории значимости;

Шаблон сведений

- Сопроводительное письмо в ФСТЭК России с сведениями о результатах присвоения объекту КИИ категории значимости;

Пример письма

Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения.

7

Разработать и утвердить ОРД документы для значимых объектов:

- Приказ о силах обеспечения безопасности объектов КИИ;

Шаблон приказа

- Приказ о назначении администратора безопасности объектов КИИ;

Шаблон приказа

- Приказ о сотрудниках ответственных за выявление инцидентов;

Шаблон приказа

- Приказ о сотрудниках по внесению изменений в конфигурацию систем;

Шаблон приказа

- Приказ об ответственном за обеспечение безопасности КИИ;

Шаблон приказа

- Приказ об ответственном за планирование и контроль мероприятий;

Шаблон приказа

- Приказ об ответственном за управление подсистемой безопасности.

Шаблон приказа

8

Разработать и утвердить План реагирования на КИ и принятия мер по ликвидации последствий КА

Шаблон Плана реагирования

Для ЗОКИИ, необходимо направить План реагирования в ФСБ России для согласования по приказу ФСБ №282 Шаблон письма в ФСБ

9

Заключить соглашение с НКЦКИ:

- Направить на почту info@cert.gov.ru письмо о намерении заключить соглашение с НКЦКИ;

Шаблон письма в НКЦКИ

- Заполнить актуальную форму Регламента взаимодействия с НКЦКИ присланную ответным письмом от НКЦКИ;

- Направить на почту info@cert.gov.ru письмо с заполненным Регламентом для согласования;

Шаблон письма в НКЦКИ

- После успешного согласования подписанный Регламент направить в двух экземплярах в адрес НКЦКИ с сопроводительным письмом.

Шаблон письма в НКЦКИ

Памятка по работе с КИИ

1.    Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ;
2.    Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ);
3.    Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ:
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ;
- Приказ о комиссии по категорированию объектов КИИ;
4.    Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752:
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию, либо АКТ/Протокол заседания комиссии об отсутствия объектов КИИ.
При отсутствии объектов КИИ направить данную информацию во ФСТЭК СЗФО России;
5.    Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ:
- Модель угроз.
6.    Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий:
- Акт категорирования объекта КИИ;
- Сведения о результатах присвоения объекту КИИ категории значимости.
Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения направить во ФСТЭК СЗФО России.
7.    Разработать и утвердить ОРД документы:
- Приказ о силах обеспечения безопасности объектов КИИ;
- Приказ о назначении администратора безопасности объектов КИИ;
- Приказ о сотрудниках ответственных за выявление инцидентов;
- Приказ о сотрудниках по внесению изменений в конфигурацию систем;
- Приказ об ответственном за обеспечение безопасности КИИ;
- Приказ об ответственном за планирование и контроль мероприятий;
- Приказ об ответственном за управление подсистемой безопасности.
8.    Разработать и утвердить План реагирования на КИ и принятия мер по ликвидации последствий КА (для ЗОКИИ, необходимо направить в ФСБ России для согласования по приказу ФСБ №282);
9.    Заключить соглашение с НКЦКИ:
- Направить на почту info@cert.gov.ru письмо о намерении заключить соглашение с НКЦКИ;
- Заполнить актуальную форму Регламента взаимодействия с НКЦКИ присланную ответным письмом от НКЦКИ;
- Направить на почту info@cert.gov.ru письмо с заполненным Регламентом для согласования;
- После успешного согласования подписанный Регламент направить в двух экземплярах в адрес НКЦКИ с сопроводительным письмом.