Какие сведения об объекте КИИ являются критически важными для категорирования?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Критически важные сведения об объекте КИИ — это не «максимально полный перечень информации», а минимально достаточный набор данных, без которого невозможно обоснованно определить последствия нарушения функционирования и применить критерии значимости. Практика показывает: если хотя бы часть таких сведений отсутствует или носит предположительный характер, результаты категорирования признаются регулятором недостоверными.

Нормативная основа

Требования к составу и качеству сведений, используемых при категорировании, следуют из:

• Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;

• Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ № 127.

Эти документы требуют, чтобы категория значимости была определена на основе достоверных и проверяемых данных.

Сведения о назначении и функциях объекта КИИ

Критически важными являются данные о том:

• какое функциональное назначение имеет объект КИИ;

• какие функции он выполняет;

• какие бизнес- или технологические процессы обеспечивает;

• допускается ли остановка функционирования и на какой срок.

Без понимания функций невозможно оценить последствия нарушения функционирования.

Сведения о границах объекта КИИ

Обязательны данные о:

• логических и технических границах объекта;

• составе систем и подсистем, входящих в объект;

• зоне ответственности и управления;

• точках входа и выхода информации.

Ошибки в границах объекта автоматически искажают результаты категорирования.

Архитектура и состав компонентов

Критически важны сведения о:

• архитектуре объекта КИИ;

• ключевых технических компонентах;

• программном обеспечении;

• сетевой структуре и каналах связи;

• распределённости и резервировании.

Архитектура используется для анализа устойчивости и сценариев отказа.

Интеграции и зависимости

Необходимо учитывать:

• внутренние и внешние интеграции;

• зависимость от других информационных систем;

• использование услуг подрядчиков и аутсорсинга;

• зависимость от инфраструктурных сервисов (ЦОД, связь, энергоснабжение).

Игнорирование зависимостей приводит к занижению последствий.

Сведения об управлении и эксплуатации

Критичны данные о:

• порядке администрирования и управления объектом;

• ролях пользователей и администраторов;

• режимах эксплуатации;

• наличии и реальности резервных механизмов.

Эти сведения влияют на оценку длительности и масштаба последствий.

Сведения для оценки последствий нарушения функционирования

Для применения критериев значимости необходимы:

• данные о количестве пользователей или потребителей услуг;

• сведения о возможном экономическом ущербе;

• информация о социальных, экологических или иных последствиях;

• данные о критичности процессов для деятельности организации.

Без этих сведений невозможно обоснованно определить показатели значимости.

Подтверждающие и справочные материалы

В качестве критически важных также используются:

• организационно-распорядительные документы;

• схемы и описания процессов;

• эксплуатационная документация;

• результаты аудитов и анализов инцидентов (при наличии).

Они обеспечивают доказательность и проверяемость сведений.

Ключевой вывод

Критически важными для категорирования объекта КИИ являются сведения, которые позволяют:

• корректно определить объект и его границы;

• понять функции и обеспечиваемые процессы;

• проанализировать последствия нарушения функционирования;

• обоснованно применить критерии значимости ПП РФ № 127.

Отсутствие или недостоверность хотя бы части этих сведений делает категорирование формальным и неустойчивым при проверках регуляторов.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге