Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ


Когда вопросы о том «Что относится к объектам критической информационной инфраструктуры?» и «Как провести категорирование объектов КИИ выдержав все сроки ФЗ-187?» для вас уже не актуальны, встает новый – «Что делать после категорирования? Как оценить и забюджетировать реализацию требований по обеспечению безопасности объектов КИИ?»

После проведенных работ по категорированию, когда вы стали счастливым обладателем реестра объектов КИИ своего предприятия, перед вами образовался новый квест – вы должны определиться с мерами по защите объектов КИИ и реализовать их.

Применение мер по защите необходимо как для значимых, так и не значимых объектов КИИ.

Объем технических и организационных мер, как и стоимость мер по защите объектов КИИ, зависит от категории значимости объекта: от внедрения организационных мер для незначимых объектов КИИ до значительной модернизации системы защиты информации для значимых объектов КИИ.

Ниже рассмотрим реализацию требований к безопасности для значимых объектов КИИ (имеющих ту или иную категорию значимости) и незначимых объектов КИИ (не имеющих категорию значимости).

Субъект КИИ со значимыми объектами КИИ

Для своевременной реализация требований по обеспечению безопасности значимых объектов КИИ, необходимо привлечение значительных финансовых и трудовых ресурсов, которыми не всегда обладают предприятия. По этой причине, субъектам КИИ, необходимо заранее запускать процессы бюджетирования для выделения средств на реализацию требований законодательства в установленные сроки.

Для определения стоимости мы используем 2 метода:

  • предварительная оценка стоимости построения (модернизации) системы защиты объектов КИИ;
  • проектирование системы защиты объектов КИИ.

Экспресс-оценка стоимости модернизации системы защиты объектов КИИ

Предварительная оценка стоимости реализации мер защиты объектов КИИ, которую мы проводим бесплатно для наших заказчиков, используется для экспресс-оценки стоимости модернизации системы защиты объектов КИИ. Результаты такой оценки носят ориентировочных характер, но с этими результатами можно (и нужно) запускать внутри Вашей организации процессы бюджетирования и выделения средств на модернизацию системы защиты объектов КИИ. 

В рамках предварительной оценки мы удаленно собираем исходные данные методами интервьюирования и направлением опросных листов. По результату экспресс-оценки стоимости реализации мер защиты объектов КИИ Вы получаете:

  • спецификацию средств защиты информации с указанием стоимостных параметров;
  • стоимость пусконаладочных работ;
  • стоимость разработки организационно-распределительной документации.

Заказать предварительную оценку стоимости
защиты объектов КИИ.

Заказать   

Проектирование системы защиты объектов КИИ

Для точного формирования спецификации средств защиты информации, ведомости объемов работ, порядка внедрения мер защиты информации, определения режимов и настроек работы оборудования, а также разработки сметной документации, учитывая существующие средства защиты и ИТ-инфраструктуры, необходимо разработать техно-рабочий проект на создание (модернизации) системы защиты объектов КИИ. В результате вы получаете технорабочий проект, согласованный со всеми заинтересованными сторонами. Состав проектной документации определяется в индивидуальном порядке.

Заказать коммерческое предложение на проектирование системы защиты объектов КИИ.

Заказать   

Субъект КИИ без значимых объектов КИИ

Субъекту КИИ без значимых объектов необходимо скорректировать существующие организационно-распорядительные документы по требованиям п.2 ст.9 ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» дополнив требованиями:

  • к процессам;
  • к персоналу.

При корректировке организационно распределительной документации Вам необходимо учесть следующие требования к процессам:

  • выявление компьютерных инцидентов;
  • актуализация перечня объектов КИИ, а также направить актуальный перечень в ФСТЭК;
  • актуализация сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий, а также направление сведений о результатах категорирования в ФСТЭК.

При корректировке ОРД необходимо учесть следующие требования к персоналу субъекта КИИ:

Персонал Требования
Технический персонал

  • выявлять компьютерные инциденты;
  • информировать комиссию по категорированию о выявленных инцидентах;
  • информировать комиссию по категорированию об изменении системного и/или программного, аппаратного обеспечения объекта КИИ.
Комиссия о категорировании

  • отправлять сведения об инцидентах в НКЦКИ в установленный срок;
  • корректировать форму сведений о результатах категорирования в случае изменения любой из позиции сведений, утвержденных приказом ФСТЭК России от 22 декабря 2017 г. №236;
  • направлять в ФСТЭК актуальную (в случае изменения) версию формы сведений о результатах категорирования;
  • актуализировать Перечень объектов КИИ (форма перечня, утвержденная Информационным сообщением ФСТЭК от 24 августа 2018 г. N 240/25/3752);
  • утверждать и направлять (не позднее 10 рабочих дней с момента утверждения) откорректированный Перечень объектов КИИ в ФСТЭК;
  • проводить категорирования для новых объектов КИИ.

Заказать бесплатную оценку стоимости реализации требований безопасности для субъектов КИИ без значимых объектов КИИ.

Заказать
Межтекстовые Отзывы
Посмотреть все комментарии
guest