Вы должны войти, чтобы создавать сообщения и темы.

Как проводить категорирование объектов КИИ?

В вашей организации уже документированы основные процессы. Либо Вы, как правильный ИБ специалист, определили их в начале своей работы в организации. Если нет, самое время наверстать упущенное:
·        изучаем учредительные документы организации – определяем функции (полномочия) или виды деятельности организации
·        проводим анкетирование руководителей всех подразделений –  какие существуют процессы в рамках функций или видов деятельности организации.

из телеграм-канала "КИИ и 187-ФЗ"

 

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. (ст.15, ПП 127)

Коллеги наткнулся на такой документ. Ответы ФСТЭК на вопросы по КИИ.

https://asta-inform.ru/system/files/files/%D0%9E%D1%82%D0%B2%D0%B5%D1%82%D1%8B%20%D0%A4%D0%A1%D0%A2%D0%AD%D0%9A%20%D0%BD%D0%B0%20%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B%20%D0%BF%D0%BE%20%D0%9A%D0%98%D0%98.pdf

Доброго времени суток! Коллеги, подскажите, кто писал запрос во ФСТЭК с просьбой разъяснения вопроса о включении ОКИИ в перечень ОКИИ (как по горводоканалу), что нужно указывать в самом запросе?

При проведении работ, встал вопрос: являемся ли мы субъектом или нет? Ни под один вид деятельности указанный в п8 ст2 187-ФЗ мы не попадаем.

Добрый день.

 

В соответствии с п. 8 ст. 2 определены сферы деятельности субъектов КИИ. Для того что бы определить подпадает ли под действие ФЗ субъект необходимо проверить совпадение ОКВЭД субъекта с указанными сферами деятельности в ФЗ.

 

1. Вопрос: какие ОКВЭД попадают под действие ФЗ? Например, оборонная промышленность там (в ОКВЭДах) четко не указана. Есть ли какой-либо порядок сопоставления ОКВЭД и данных сфер деятельности, указанных в ФЗ?

Можно для упрощения понимания взять постановление Правительства (ПП) 127, но, как показывает практика, это не панацея. К тому же, если не определить ОКВЭДом, что субъект занимается, к примеру, оборонной промышленностью, то и п. 13 ПП 127 будет не применим.

Подобного рода вопросы возникают и по имеющимся лицензиям у субъекта и видам деятельности прописанным в уставе субъекта.

2. Также вызывает вопрос: а если организация занимается водоснабжением, то, исходя только из формулировок ФЗ, она не подпадает под его действие? Ведь водоснабжение не относится ни к энергетике, ни к здравоохранению. Понятное дело, что если взять ПП, то все станет ясно, но ведь не все читают подзаконные акты, если видят, что ФЗ к ним не относится.

3. Еще проблема объяснить самостоятельным структурным подразделениям (а в нашем случае их много) как им лучше предоставить информацию по своим объектам. Подразделения у нас с различной специфической деятельностью, порой, понятной только им. Сложность в донесении до них информации: а) какие виды деятельности нас интересуют (сложно привязать ОКВЭДы к их положениям об отделах) б) как вывести технические процессы из конкретного вида деятельности (порой даже паспортов нет) в) грань между объектом КИИ и не объектом (станок, в который загружается программа работы с флешки является объектом?).

Вопросов много. 🙂

Цитата: Mikhail от 03.07.2018, 18:23

В соответствии с п. 8 ст. 2 определены сферы деятельности субъектов КИИ. Для того что бы определить подпадает ли под действие ФЗ субъект необходимо проверить совпадение ОКВЭД субъекта с указанными сферами деятельности в ФЗ.

1. Вопрос: какие ОКВЭД попадают под действие ФЗ?

Есть сайт list-org.com в нем смотрите по своей организации. Вопросов быть не должно. Для примера я посмотрел ОКВЭД Концерна "Калашников". Из всего списка я бы выделил процессы для рассмотрения их в качестве критических по 187 ФЗ:

Производство нефтепродуктов (это ТЭК, попадает под вид деятельности из 187 ФЗ)
Производство взрывчатых веществ (тут без вопросов)
Производство ножевых изделий и столовых приборов (тут как бы тоже)
Производство прочих насосов и компрессоров (надо понимать что насосы они делают для военной техники)
Производство прочего электрического оборудования (опять же, если это стабилизатор для пулемета, понятное дело что оборонка)
Деятельность, связанная с обеспечением военной безопасности

...

Цитата: Mikhail от 03.07.2018, 18:23

К тому же, если не определить ОКВЭДом, что субъект занимается, к примеру, оборонной промышленностью, то и п. 13 ПП 127 будет не применим.

Я думаю что такой вид деятельности как оборонка (производство танков, взрывчатки), по любому лицензируется

Цитата: Mikhail от 03.07.2018, 18:23

2. Также вызывает вопрос: а если организация занимается водоснабжением, то, исходя только из формулировок ФЗ, она не подпадает под его действие? Ведь водоснабжение не относится ни к энергетике, ни к здравоохранению. Понятное дело, что если взять ПП, то все станет ясно, но ведь не все читают подзаконные акты, если видят, что ФЗ к ним не относится.

 

Как раз таки с водоканалом вопросов нет. Если смотрим по тому же ОКВЭДу ( Смотрим для примеры ОКВЭД "Мосводоканала":), то видим :
52.29 Деятельность вспомогательная прочая, связанная с перевозками - транспорт
20.13 Производство прочих основных неорганических химических веществ- химическая промышленность
35.11.2 Производство электроэнергии гидроэлектростанциями, в том числе деятельность по обеспечению работоспособности электростанций - ТЭК
35.12 Передача электроэнергии и технологическое присоединение к распределительным электросетям - ТЭК
49.50 Деятельность трубопроводного транспорта -транспорт
52.10 Деятельность по складированию и хранению - транспорт
52.21 Деятельность вспомогательная, связанная с сухопутным транспортом - транспорт
61.1  Деятельность в области связи на базе проводных технологий - связь
61.10 Деятельность в области связи на базе проводных технологий - связь.

Вот тут подробно можно почитать: https://valerykomarov.blogspot.com/2018/05/blog-post_31.html

3. Еще проблема объяснить самостоятельным структурным подразделениям (а в нашем случае их много) как им лучше предоставить информацию по своим объектам. Подразделения у нас с различной специфической деятельностью, порой, понятной только им. 

Само собой. Но, я так понял, на вас взвалили должность координатора оказывающего методическую помощь. Я поступил следующим образом: направил во все подведы письмо, чтоб они сами посмотрели и приняли решение о то, являются ли они СКИИ. В этом письме подробно расписал процесс определения СКИИ. а в качестве приложения к письму направил проект приказа о создании комиссии по приведению деятельности организации в соответствии с требованиями 187фз и категорированию. В приказе так же назначаются ответственные, указываются сроки, нормативная база которой будет руководствоваться комиссия (в приложении), а так же, план мероприятий (с указанием ответственных за каждый пункт и сроков выполнения).

Ответственные люди в подведах отзвонились, и я их консультировал. НО! решение они все равно принимают сами. А еще в  соответствии пунктом 15 постановления Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» запросил  направить в наш адрес для согласования «Перечень объектов критической информационной инфраструктуры, подлежащих категорированию». Поскольку они наши подведы, то в соответствии с 127пп они написали нам запрос о включении меня в комиссию по категорированию. Сейчас делаются акты категорирования к которых отражена информация в соответствии с пп127, и этот документ вместе с планом работ будет направлен на согласование во 2 отдел ФСТЭК и местный региональный.

Сложность в донесении до них информации: а) какие виды деятельности нас интересуют (сложно привязать ОКВЭДы к их положениям об отделах) б) как вывести технические процессы из конкретного вида деятельности (порой даже паспортов нет) в) грань между объектом КИИ и не объектом (станок, в который загружается программа работы с флешки является объектом?).

Как я выше писал, вас включат в комиссию, и вы вместе с ними сам посмотрите. Они же ваши подведы, так что вы примерно должны быть в курсе что у них там и как, хотя бы примерно.

По поводу моего сообщения, разговаривал со ФСТЭК, и они сказали что не уполномочены давать разъяснения, и что организация сама принимает решение. Они могут лишь с ссылками на законы подсказать, но однозначного утвердительного ответа не дадут. Ждем бумажного ответа.

Цитата: Simak от 18.06.2018, 09:49

Доброго времени суток! Коллеги, подскажите, кто писал запрос во ФСТЭК с просьбой разъяснения вопроса о включении ОКИИ в перечень ОКИИ (как по горводоканалу), что нужно указывать в самом запросе?

При проведении работ, встал вопрос: являемся ли мы субъектом или нет? Ни под один вид деятельности указанный в п8 ст2 187-ФЗ мы не попадаем.

 

Всем добрый день. Схема от ФСТЭК Ростова-на-Дону

 

 

 

 

Цитата: Виктор Страхов от 04.07.2018, 12:06

Всем добрый день. Схема от ФСТЭК Ростова-на-Дону

 

При интервью с руководителями подразделений узнаем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Отдельно в ИТ подразделении запрашиваем полный перечень ИС (подготовленных в рамках мероприятий по ПДн) и АСУ, совместно с ИТ вычеркиваем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).
И получается, что данные об ИС и АСУ получены их разных источников, гарантируется его большая адекватность и актуальность.

Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Особо заморачиваться и дробить на маленькие кусочки нет смысла. Обозначаем одним пунктом – корпоративная сеть организации.

Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.

Яндекс.Метрика