Как определение значимости КИИ влияет на планирование мер защиты?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Определение значимости объекта КИИ является отправной точкой для планирования мер защиты. Категория значимости напрямую определяет, какие меры безопасности обязательны, в каком объёме и с каким приоритетом. Если значимость определена неверно, то и планирование мер защиты изначально строится на ошибочной основе.

Что говорит законодательство

Федеральный закон № 187-ФЗ устанавливает, что меры по обеспечению безопасности объектов КИИ применяются в зависимости от их категории значимости.

После определения значимости требования к защите формируются на основании подзаконных актов ФСТЭК России, которые:

• устанавливают обязательные меры защиты для значимых объектов КИИ;

• дифференцируют требования по категориям значимости;

• предусматривают разный объём организационных, технических и режимных мер.

Следовательно:

• без корректно определённой категории невозможно законно спланировать меры защиты;

• применение мер «по усмотрению» без опоры на категорию считается нарушением.

Как это работает на практике

На практике влияние значимости на планирование мер защиты проявляется следующим образом:

Определение объёма мер

• чем выше категория значимости, тем больше обязательных мер требуется реализовать;

• для I категории применяется максимальный набор требований;

• для II и III категорий — дифференцированный объём мер;

• для незначимых объектов требования существенно отличаются.

Приоритизация ресурсов

• объекты с более высокой категорией получают приоритет в финансировании и защите;

• ресурсы ИБ распределяются исходя из значимости, а не субъективной «важности»;

• планирование становится управляемым и обоснованным.

Формирование дорожных карт

• категория значимости определяет очерёдность внедрения мер;

• влияет на сроки, бюджеты и этапность проектов по защите КИИ;

• используется как аргумент при защите бюджета и управленческих решений.

Контроль и проверки

• регулятор проверяет соответствие реализованных мер конкретной категории значимости;

• даже качественно реализованные меры могут быть признаны несоответствующими, если категория определена неверно.

Выводы и рекомендации

Определение значимости КИИ напрямую формирует требования к защите и влияет на планирование мер безопасности. Категория значимости — это фундамент, на котором строится весь контур защиты объекта КИИ.

Рекомендуется:

• рассматривать определение значимости как стратегический этап, а не формальность;

• планировать меры защиты только после корректного категорирования;

• регулярно пересматривать значимость при изменении условий функционирования объекта.

Корректно определённая значимость обеспечивает не только соответствие требованиям 187-ФЗ, но и рациональное, управляемое и защищённое планирование мер безопасности КИИ.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге