Нормативная основа требований к исходным данным
Требование опираться на достоверные и актуальные сведения следует из:
-
Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
-
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ № 127.
Эти документы обязывают субъекта КИИ обеспечивать корректность сведений, используемых при определении значимости объекта.
Общий перечень необходимых исходных данных
Для начала категорирования объекта КИИ субъект КИИ должен сформировать базовый набор исходных данных, позволяющий определить границы объекта и оценить последствия нарушения его функционирования.
Сведения о назначении и функциях объекта КИИ
Необходимо определить:
-
какое назначение имеет объект КИИ;
-
какие функции он выполняет;
-
какие бизнес- или технологические процессы обеспечивает;
-
является ли функционирование объекта непрерывным или допускает остановку.
Эта информация является отправной точкой для анализа последствий.
Сведения о границах и составе объекта КИИ
Для корректного категорирования требуются данные о:
-
границах объекта КИИ;
-
составе информационных ресурсов и компонентов;
-
входящих и выходящих интерфейсах;
-
зоне ответственности субъекта КИИ.
Неверно определённые границы делают категорирование недостоверным.
Архитектура и техническая структура
К исходным данным относятся:
-
общая архитектура объекта КИИ;
-
перечень серверов, рабочих станций, сетевых компонентов;
-
используемое программное обеспечение;
-
распределённость объекта и наличие резервных площадок.
Архитектура необходима для оценки устойчивости и сценариев отказов.
Интеграции и зависимости
Обязательно учитываются:
-
внешние и внутренние интеграции;
-
зависимость от каналов связи, ЦОД, облачных сервисов;
-
роль подрядчиков и аутсорсинга в эксплуатации объекта.
Игнорирование зависимостей приводит к занижению последствий нарушения функционирования.
Сведения о пользователях и управлении
Необходимы данные о:
-
категориях пользователей и администраторов;
-
распределении прав доступа;
-
порядке управления и администрирования объекта.
Эти сведения используются при анализе устойчивости и сценариев нарушений.
Данные для оценки последствий нарушения функционирования
Для анализа последствий требуются:
-
сведения о количестве пользователей или потребителей услуг;
-
данные о возможном экономическом ущербе;
-
информация о рисках для жизни и здоровья людей;
-
сведения о потенциальных экологических или иных значимых последствиях.
Без этих данных невозможно корректно применить показатели критериев значимости.
Дополнительные подтверждающие материалы
В качестве исходных данных также используются:
-
организационно-распорядительные документы;
-
схемы и описания процессов;
-
результаты аудитов и инцидентов (при наличии);
-
эксплуатационная документация.
Эти материалы повышают доказательность категорирования.
Ключевой вывод
Для начала категорирования объекта КИИ необходимы:
-
сведения о назначении, функциях и границах объекта;
-
данные об архитектуре и интеграциях;
-
информация о процессах и последствиях нарушения функционирования;
-
подтверждающие документы и фактические данные.
Без формирования полного набора исходных данных корректное категорирование невозможно и приводит к регуляторным рискам.
