В соответствии со ст. 7 ФЗ № 187 все объекты КИИ подлежат категорированию.
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.
Чем выше категория объекта, тем большей защиты он требует.
Субъекты КИИ в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
✅ Создайте комиссию.
На основании Постановления Правительства РФ от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию.
Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.
Чем выше категория объекта, тем большей защиты он требует.
Субъекты КИИ в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
✅ Создайте комиссию.
На основании Постановления Правительства РФ от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию.
Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
✅ За реализацию норм закона о безопасности КИИ отвечают федеральные органы исполнительной власти – Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ). ФСТЭК контролирует безопасность критической информационной инфраструктуры РФ, ФСБ – обеспечивает функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – система ГосСОПКА).
Также создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ.
Необходимо:
1. Издать приказ о создании комиссии в по категорированию объекты КИИ.
2. Определить и направить в ФСТЭК перечень объектов КИИ, по форме утвержденной Информационным сообщением ФСТЭК России от 17 апреля 2020 г. № 240/84/611.
3. Провести анализ актуальных угроз.
4. Провести категорирование.
5. Составить акт результатов категорирования.
6. Направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК.
При этом сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.
Согласно Приказу ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» утверждена форма, по которой субъект КИИ передает сведения.
✅Утвердите положение о заместителе, ответственном за ИБ, или разработайте должностную инструкцию.
Типовой текст положения подготовили законодатели - Постановление Правительства РФ от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
✅ Назначьте ответственного за ИБ
Например, заместителя руководителя, заместителя главного врача.
Заместитель должен обеспечивать ИБ. В том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, – пропишите в должностной инструкции.
Требования к квалификации. У заместителя руководителя по информационной безопасности должно быть высшее образование не ниже уровня специалитета, магистратуры по направлению «Обеспечение информационной безопасности». Если у сотрудника иное высшее образование, он должен пройти обучение по программе профпереподготовки по направлению «Информационная безопасность» со сроком обучения не менее 360 часов. Кроме того, такой заместитель должен иметь стаж работы в сфере информационной безопасности не менее трех лет. Такие квалификационные требования установлены письмом Минздрава от 04.06.2022 № 18-4/И/2-9129 со ссылкой на пункт 12 приказа ФСТЭК от 21.12.2017 № 235.
Поручите отделу кадров разработать на заместителя по информационной безопасности должностную инструкцию. В ней должны быть прописаны требования к квалификации, функциональные обязанности, полномочия, подчиненность и ответственность.
При этом согласно п. 2.3. Приказа ФСТЭК России от 22.12.2017 № 236 в форме подачи сведений указано, что необходимо предоставить сведения об руководителе субъекта КИИ, а также согласно п. 2.4. предоставить сведения о должностном лице, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.
🟢 Таким образом считаем правомерным при отсутствии в организации заместителя руководителя, возложить обязанности по КИИ на руководителя организации.
Также создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ.
Необходимо:
1. Издать приказ о создании комиссии в по категорированию объекты КИИ.
2. Определить и направить в ФСТЭК перечень объектов КИИ, по форме утвержденной Информационным сообщением ФСТЭК России от 17 апреля 2020 г. № 240/84/611.
3. Провести анализ актуальных угроз.
4. Провести категорирование.
5. Составить акт результатов категорирования.
6. Направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК.
При этом сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.
Согласно Приказу ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» утверждена форма, по которой субъект КИИ передает сведения.
✅Утвердите положение о заместителе, ответственном за ИБ, или разработайте должностную инструкцию.
Типовой текст положения подготовили законодатели - Постановление Правительства РФ от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
✅ Назначьте ответственного за ИБ
Например, заместителя руководителя, заместителя главного врача.
Заместитель должен обеспечивать ИБ. В том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, – пропишите в должностной инструкции.
Требования к квалификации. У заместителя руководителя по информационной безопасности должно быть высшее образование не ниже уровня специалитета, магистратуры по направлению «Обеспечение информационной безопасности». Если у сотрудника иное высшее образование, он должен пройти обучение по программе профпереподготовки по направлению «Информационная безопасность» со сроком обучения не менее 360 часов. Кроме того, такой заместитель должен иметь стаж работы в сфере информационной безопасности не менее трех лет. Такие квалификационные требования установлены письмом Минздрава от 04.06.2022 № 18-4/И/2-9129 со ссылкой на пункт 12 приказа ФСТЭК от 21.12.2017 № 235.
Поручите отделу кадров разработать на заместителя по информационной безопасности должностную инструкцию. В ней должны быть прописаны требования к квалификации, функциональные обязанности, полномочия, подчиненность и ответственность.
При этом согласно п. 2.3. Приказа ФСТЭК России от 22.12.2017 № 236 в форме подачи сведений указано, что необходимо предоставить сведения об руководителе субъекта КИИ, а также согласно п. 2.4. предоставить сведения о должностном лице, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.
🟢 Таким образом считаем правомерным при отсутствии в организации заместителя руководителя, возложить обязанности по КИИ на руководителя организации.
🟢 В третьей части статьи мы рассмотрим тему "Организация работы структурного подразделения по информационной безопасности"
🟢 Нормативно правовые акты, которые упоминаются в статье, доступны в личном кабинете членов СРО НАКЭМ
🟢 Нормативно правовые акты, которые упоминаются в статье, доступны в личном кабинете членов СРО НАКЭМ