В соответствии с требованиями 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» компании было необходимо установить соответствие объектов критической информационной инфраструктуры (КИИ) завода критериям значимости, показателям их значений и присвоить им одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им одной из категорий значимости.
Чтобы выполнить требования законодательства и рекомендации регулятора, компании требовался подрядчик, который бы смог оперативно провести обследование, выявить объекты КИИ и провести их категорирование.Задачи
- Провести обследование, выявить и категорировать объекты КИИ с целью выполнения требований 187-ФЗ
- Разработать техническое задание на создание системы обеспечения информационной безопасности объектов КИИ
На подготовительном этапе специалисты ICL собрали рабочую группу, разработали план-график проведения работ и утвердили его у заказчика.
Далее специалисты провели обследование ИТ-инфраструктуры компании, определили бизнес-процессы и выявили из них критические процессы — управленческие, технологические, производственные, финансово-экономические и другие, нарушение или прекращение которых привело бы к негативным последствиям. Например, если бы в результате компьютерного инцидента в окружающую среду попали бы вредные вещества или был бы причинен вред жизни и здоровью людей.
Исходя из выявленных критических процессов, специалисты ICL определили несколько десятков объектов КИИ — автоматизированных систем управления, которые эти процессы обеспечивают. Перечень объектов КИИ, подлежащих категорированию, был направлен в ФСТЭК России.
Далее специалисты приступили к оценке возможных негативных последствий на каждом объекте КИИ по следующим критериям:
- социальная значимость,
- политическая значимость,
- экономическая значимость,
- экологическая значимость,
- значимость объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка.
После обследования, проверки документации и детального анализа масштаба возможных последствий для каждого объекта КИИ, специалисты ICL принимали решения о присвоении объектам КИИ одной из трех категорий значимости либо об отсутствии необходимости присвоения им одной из категорий значимости.
Формы сведений о результатах присвоения объектам КИИ категорий значимости также были направлены в ФСТЭК России.
Результаты
- Было разработано техническое задание на создание системы обеспечения информационной безопасности объектов КИИ.
- Категорирование было выполнено меньше чем за два месяца и в полном соответствии с требованиями законодательства Российской Федерации, благодаря чему заказчик смог своевременно отправить результаты категорирования в ФСТЭК России.
- Все этапы категорирования объектов КИИ были детально задокументированы, что позволяет заказчику избежать претензий со стороны государственных контролирующих органов.