По критической информационной инфраструктуре Пензенской области: различия между версиями
(Новая страница: «В соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ «О безопасности критической информ…») |
(нет различий)
|
Текущая версия на 10:49, 6 февраля 2019
В соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» организации Пензенской области, которым на праве собственности, аренды или на ином законном основании принадлежат следующие объекты:
- информационные системы,
- информационно-телекоммуникационные сети,
- автоматизированные системы управления,
которые функционирующие в сферах
- здравоохранения,
- науки,
- транспорта,
- связи,
- энергетики,
- банковской сфере,
- иных сферах финансового рынка,
- топливно-энергетического комплекса,
- в области атомной энергии,
- оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности,
- или которые обеспечивают взаимодействие указанных объектов,
являются субъектами критической информационной инфраструктуры Пензенской области (далее – субъекты КИИ), а эти объекты – объектами критической информационной инфраструктуры Пензенской области (далее – объекты КИИ).
Алгоритм действий субъекта КИИ при наличии объектов КИИ
1. Создание комиссии для формирования перечня функционирующих объектов КИИ и их категорирования. Состав комиссии определяется в соответствии с пунктами 11-13 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
2. Составление перечня управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.
3. Из состава процессов, включенных в перечень, выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обороны страны, безопасности государства и правопорядка. Таким образом, получаем перечень критических процессов.
4. Для каждого процесса определяются объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
5. Определенные объекты включаются в перечень объектов КИИ, подлежащих категорированию.
Рекомендуемая форма перечня приведена в Таблице.
| № п/п | Наименование объекта КИИ | Сфера деятельности | Адреса размещения объекта КИИ | Ориентировочный срок категорирования объекта КИИ |
|---|---|---|---|---|
| 1. | ||||
| 2. | ||||
| ... |
Примечание:
1) в случае, если объект КИИ является распределенным, в третьей колонке указываются адреса подразделений (обособленных подразделений, филиалов, представительств) субъекта КИИ, в которых размещаются сегменты объекта КИИ (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства).
2) максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.
6. Перечень объектов КИИ перед утверждением подлежит согласованию с Управлением цифрового развития и связи Пензенской области. После успешного согласования перечень объектов КИИ в течение 5 дней направляется субъектом КИИ в Управление ФСТЭК России по Приволжскому федеральному округу.
7. Категорирования объектов КИИ проводится методом оценки масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры в соответствии с перечнем показателей критериев значимости, утвержденным постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
8. Каждому определенному объекту КИИ присваивается одна из категорий значимости, либо принимается решение об отсутствии необходимости присвоения категорий значимости. Правила категорирования определены Постановлением Правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
9. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, результаты анализа угроз безопасности информации объекта КИИ, реализованные меры по обеспечению безопасности объекта КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, утвержденными Приказом ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (с последующими изменениями).
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
10. Субъект КИИ в течение 10 дней со дня утверждения акта направляет в Управление ФСТЭК России по Приволжскому федеральному округу сведения по форме, определенной Приказом ФСТЭК России от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
11. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в Управление ФСТЭК России по Приволжскому федеральному округу.
