КИИ
|
Основные НПА по КИИ |
||
|
1. Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» 2. Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» 3. Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» 4. Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» 5. Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» Описание: документ устанавливает запрет на использование иностранного ПО на ЗО КИИ. 6. Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ» 7. Указ Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». 8. Постановление Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя организации, ответственном за обеспечение информационной безопасности, и типового положения о структурном подразделении, обеспечивающем информационную безопасность организации» |
||
|
Порядок действий по категорированию объектов КИИ |
||
|
1 |
Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ: |
|
|
- План мероприятий |
||
|
2 |
Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ). |
|
|
3 |
Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ: |
|
|
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ; |
||
|
- Приказ о комиссии по категорированию объектов КИИ. |
||
|
4 |
Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752: |
|
|
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию; |
||
|
- Сопроводительное письмо в ФСТЭК России с перечнем объектов КИИ, подлежащих категорированию; |
||
|
- Форма утверждения перечня объектов критической информационной инфраструктуры с ФСТЭК. |
||
|
Перечень объектов в течение 10 рабочих дней после утверждения направить в печатном и электронном виде в ФСТЭК СЗФО России); |
||
|
5 |
Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ - Модель угроз. |
|
|
6 |
Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: |
|
|
- Акт категорирования объекта КИИ; |
||
|
- Сведения о результатах присвоения объекту КИИ категории значимости; |
||
|
- Сопроводительное письмо в ФСТЭК России с сведениями о результатах присвоения объекту КИИ категории значимости; |
||
|
Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения направить во ФСТЭК СЗФО России. |
||
|
7 |
Разработать и утвердить ОРД документы для значимых объектов: |
|
|
- Приказ о силах обеспечения безопасности объектов КИИ; |
||
|
- Приказ о назначении администратора безопасности объектов КИИ; |
||
|
- Приказ о сотрудниках ответственных за выявление инцидентов; |
||
|
- Приказ о сотрудниках по внесению изменений в конфигурацию систем; |
||
|
- Приказ об ответственном за обеспечение безопасности КИИ; |
||
|
- Приказ об ответственном за планирование и контроль мероприятий; |
||
|
- Приказ об ответственном за управление подсистемой безопасности. |
||
|
8 |
Разработать и утвердить регламент взаимодействия с НКЦКИ о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак; |
|
|
Направить на почту Email: info@cert.gov.ru о намерении заключить соглашение с НКЦКИ |
||
|
9 |
Заключить соглашение с НКЦКИ |
|
Памятка по работе с КИИ
1. Создать и утвердить план мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ;
2. Составить перечень информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС), автоматизированных системы управления (АСУ);
3. Разработать и утвердить приказ о создании комиссии по категорированию объектов КИИ:
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ;
- Приказ о комиссии по категорированию объектов КИИ;
4. Сформировать и утвердить перечень объектов КИИ, подлежащих категорированию в соответствии с рекомендуемой формой, представленной в информационном сообщении ФСТЭК России от 24.08.2018 № 240/25/3752:
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию.
Перечень объектов в течение 10 рабочих дней после утверждения направить в печатном и электронном виде в ФСТЭК СЗФО России);
5. Сформировать перечень угроз безопасности информации и уязвимостей для каждого объекта КИИ:
- Модель угроз.
6. Присвоить каждому из объектов КИИ одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Оформить акты категорирования объектов КИИ в соответствии с формой, установленной Приказом ФСТЭК России от 22.12.2017 № 236 и сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий:
- Акт категорирования объекта КИИ;
- Сведения о результатах присвоения объекту КИИ категории значимости.
Сведения о результатах присвоения объекту КИИ в письменном виде в десятидневный срок со дня принятия соответствующего решения направить во ФСТЭК СЗФО России.
7. Разработать и утвердить ОРД документы:
- Приказ о силах обеспечения безопасности объектов КИИ;
- Приказ о назначении администратора безопасности объектов КИИ;
- Приказ о сотрудниках ответственных за выявление инцидентов;
- Приказ о сотрудниках по внесению изменений в конфигурацию систем;
- Приказ об ответственном за обеспечение безопасности КИИ;
- Приказ об ответственном за планирование и контроль мероприятий;
- Приказ об ответственном за управление подсистемой безопасности.
8. Разработать и утвердить регламент взаимодействия с НКЦКИ о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак;
9. Заключить соглашение с НКЦКИ.