Давайте будем проводить категорирование объекта КИИ на примере организации сферы здравоохранения.
Будем руководствоваться следующими НПА:
· Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
· Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
· Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"
· Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"
Общая схема категорирования примерно следующая:
Давайте подробнее разберем начальные этапы.
0. Формирование комиссии.
Очевидно, что чем больше специалистов мы включим в комиссию, тем на больший срок затянется наше категорирование. С другой стороны без специалистов по основным видам деятельности безопаснику будет сложно определить критические процессы и оценить последствия их нарушения.
В случае медицинской организации включить главного врача и его заместителей по мед. деятельности, ответственного за ИБ, ответственного за ГОиЧС. Также можно попробовать договориться с местным Минздравом, МИАЦ (это обеспечит быстрое согласование перечня объектов), а также с организацией оказывающих вашей организации услуги в области ИБ, о включении их сотрудников. Договорится можно в устной форме, но потом лучше отправить официальное письмо данным организациям с просьбой предоставить эксперта для участия в категорировании объектов КИИ.
Создание комиссии необходимо документировать. Вероятнее всего это будет приказ о создании комиссии для категорирования объектов КИИ в такой то организации. Там могут быть определены конкретные этапы и сроки, но не обязательно. Полный цикл категорирования, скорее всего, займет значительное время, поэтому лучше сразу определить, как будут фиксироваться промежуточные решения комиссии: протокол, акт...
1. Определение процессов
В идеальном случае, в вашей организации уже документированы основные процессы. Либо Вы, как правильный ИБ специалист, определили их в начале своей работы в организации. Если нет, самое время наверстать упущенное:
· изучаем учредительные документы организации – определяем функции (полномочия) или виды деятельности организации
· вооружаемся блокнотом или электронными анкетами и идем общаться с руководителями всех подразделений – какие процессы, существуют процессы в рамках функций или видов деятельности организации?
На примере медицинской организации получаем примерно следующий перечень процессов. При этом учитываем, что дробление на подпроцессы – увеличивает трудоемкость дальнейшего анализа, но в ряде случаев позволяет оптимизировать результаты категорирования (сделать их более точными).
PS: продолжение следует.