КИИ
Основные НПА по КИИ |
||
1. Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 2. Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» 3. Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» 4. Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» 5. Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» Описание: документ устанавливает запрет на использование иностранного ПО на ЗО КИИ. 6. Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ» 7. Указ Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». 8. Постановление Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя организации, ответственном за обеспечение информационной безопасности, и типового положения о структурном подразделении, обеспечивающем информационную безопасность организации» 9. Приказ ФСБ России от 19.07.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» |
||
Порядок действий по категорированию объектов КИИ |
||
1 |
Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ: |
|
- План мероприятий |
||
2 |
Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ). |
|
3 |
Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ: |
|
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ; |
||
- Приказ о комиссии по категорированию объектов КИИ. |
||
4 |
Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752: |
|
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию; |
||
- Сопроводительное письмо в ФСТЭК России с перечнем объектов КИИ, подлежащих категорированию; |
||
- Форма утверждения перечня объектов критической информационной инфраструктуры с ФСТЭК. |
||
Перечень объектов в течение 10 рабочих дней после утверждения направить в печатном и электронном виде в ФСТЭК СЗФО России не нужно направлять во ФСТЭК СЗФО России. Ссылка на НПА; При отсутствии объектов КИИ, сообщить данную информацию во ФСТЭК СЗФО России. |
||
5 |
Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ - Модель угроз. |
|
6 |
Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: |
|
- Акт категорирования объекта КИИ; |
||
- Сведения о результатах присвоения объекту КИИ категории значимости; |
||
- Сопроводительное письмо в ФСТЭК России с сведениями о результатах присвоения объекту КИИ категории значимости; |
||
Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения. |
||
7 |
Разработать и утвердить ОРД документы для значимых объектов: |
|
- Приказ о силах обеспечения безопасности объектов КИИ; |
||
- Приказ о назначении администратора безопасности объектов КИИ; |
||
- Приказ о сотрудниках ответственных за выявление инцидентов; |
||
- Приказ о сотрудниках по внесению изменений в конфигурацию систем; |
||
- Приказ об ответственном за обеспечение безопасности КИИ; |
||
- Приказ об ответственном за планирование и контроль мероприятий; |
||
- Приказ об ответственном за управление подсистемой безопасности. |
||
8 |
Разработать и утвердить План реагирования на КИ и принятия мер по ликвидации последствий КА |
|
Для ЗОКИИ, необходимо направить План реагирования в ФСБ России для согласования по приказу ФСБ №282 | Шаблон письма в ФСБ | |
9 |
Заключить соглашение с НКЦКИ: |
|
- Направить на почту info@cert.gov.ru письмо о намерении заключить соглашение с НКЦКИ; |
||
- Заполнить актуальную форму Регламента взаимодействия с НКЦКИ присланную ответным письмом от НКЦКИ; |
||
- Направить на почту info@cert.gov.ru письмо с заполненным Регламентом для согласования; |
||
- После успешного согласования подписанный Регламент направить в двух экземплярах в адрес НКЦКИ с сопроводительным письмом. |
Памятка по работе с КИИ
1. Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ;
2. Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ);
3. Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ:
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ;
- Приказ о комиссии по категорированию объектов КИИ;
4. Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752:
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию, либо АКТ/Протокол заседания комиссии об отсутствия объектов КИИ.
При отсутствии объектов КИИ направить данную информацию во ФСТЭК СЗФО России;
5. Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ:
- Модель угроз.
6. Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий:
- Акт категорирования объекта КИИ;
- Сведения о результатах присвоения объекту КИИ категории значимости.
Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения направить во ФСТЭК СЗФО России.
7. Разработать и утвердить ОРД документы:
- Приказ о силах обеспечения безопасности объектов КИИ;
- Приказ о назначении администратора безопасности объектов КИИ;
- Приказ о сотрудниках ответственных за выявление инцидентов;
- Приказ о сотрудниках по внесению изменений в конфигурацию систем;
- Приказ об ответственном за обеспечение безопасности КИИ;
- Приказ об ответственном за планирование и контроль мероприятий;
- Приказ об ответственном за управление подсистемой безопасности.
8. Разработать и утвердить План реагирования на КИ и принятия мер по ликвидации последствий КА (для ЗОКИИ, необходимо направить в ФСБ России для согласования по приказу ФСБ №282);
9. Заключить соглашение с НКЦКИ:
- Направить на почту info@cert.gov.ru письмо о намерении заключить соглашение с НКЦКИ;
- Заполнить актуальную форму Регламента взаимодействия с НКЦКИ присланную ответным письмом от НКЦКИ;
- Направить на почту info@cert.gov.ru письмо с заполненным Регламентом для согласования;
- После успешного согласования подписанный Регламент направить в двух экземплярах в адрес НКЦКИ с сопроводительным письмом.