Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

КИИ. Категорирование объектов, часть 3

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(1)
()

Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование.


3. Определение объектов КИИ

Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты).

В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его большая адекватность и актуальность.

Далее к перечню объектов КИИ необходимо добавить информационно-телекоммуникационные сети. Тут нет особого смысла добить на маленькие кусочки. Указываем одним пунктом – корпоративная сеть организации. Внешние защищенные сети, такие как Защищенная сеть Минздрава РФ, Защищенная сеть Минздрава КК, Защищенная сеть ТФОМС – не указываем, так как не являемся владельцами данных сетей.


3.а. Получившийся, предварительный, но ещё не утвержденный, перечень объектов КИИ отправляем вышестоящему гос. органу (Минздрав субъекта РФ). По-хорошему, отраслевые регуляторы должны публиковать порядок согласования с ними перечней, но пока такого не замечено. Поэтому просто пишем письмо  

“В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 направляем Вам на согласование предварительный перечень объектов критической информационной инфраструктуры нашей организации.”

и прикладываем перечень объектов КИИ.


3.б. Минздрав субъекта РФ, посмотрит не забыли ли вы указать какую-то систему, которую указали коллеги до вас. По-хорошему, они могли бы предложить убрать системы, которые точно не будут критическими. Но в ближайшее время этого делать никто не будет, так как информации недостаточно. И уже озвучиваются вопросы типа “вдруг мы вычеркнем систему, а потом произойдет инцидент и окажется что не надо было её вычеркивать”.


4. Утверждение перечня объектов КИИ

После согласования перечня с отраслевым регулятором, готовим формальный документ с перечнем объектов и отдаем его руководителю на утверждение. Одновременно с ним нужно подготовить письмо на начальника 2 управления ФСТЭК России (копию на руководителя Управления ФСТЭК России по вашему федеральному округу), приложением к которому необходимо приложить перечень объектов КИИ.

И хотя форма перечня объектов КИИ формально не утверждена, но на семинарах, в письмах и заседаниях ФСТЭК России приводит различные “рекомендованные форматы”

например, такой




или такой



Если обобщать, то в целом получается такая форма перечня (примеры объектов КИИ)

Наименование организации

Сфера деятельности

Наименование объекта КИИ

Планируемый срок категорирования

Адрес и контакты организации

ККБ №0

Здравоохранение

ИС:

"Электронная очередь"

"СОЦ-Лаборатория"

"Льготные рецепты"

"М-Аптека"

МИС "Самсон"

"Медкомтех"

"03"

"Экспресс-здоровье"

"Скрининг новорожденных"

"Высокозатратные нозологии"

"Регистр больных сахарным диабетом"

АРМ ПЦ ЛЛО

СК ИПРА

АСУ:

Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи

АСУ пожаротушением

АСУ рентген аппаратами

АСУ томографом

АСУ лучевой терапия

ИТС:

Корпоративная сеть ККБ №0

1 января 2019 г.

Руководитель – Иванов И.И.


(861)2790001


г. Краснодар, ул. Красная 1.

Несмотря, на то, что в ПП 127 не установлены сроки на утверждение перечня объектов КИИ, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки, которые в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ.


Пример протокола такого заседания можно посмотреть тут.

Срок на утверждение перечня объектов КИИ – до 1 августа 2018 г.

Срок на проведение категорирования объектов КИИ – до 1 января 2019 г.


Оцените материал:
Total votes: 118
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Алим Айгуля

Здравствуйте, очень интересная статья. В итоге, какую категорию присудили данному объекту КИИ? У вас есть пример Акта категорирования? 

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.