Аудит и категорирование объектов КИИ по 187-ФЗ

Особое внимание регулятора к объектам КИИ

«ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверки 700 значимых объектов критической информационной инфраструктуры (КИИ). При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета IT-активов.» Источник: Коммерсантъ.

Только 36% объектов КИИ защищены на базовом уровне. 64% ОКИИ в России уязвимы к киберинцидентам. Безопасность выступает как дополнение, а не как основной процесс. Категорирование – это точка входа ИБ в бизнес-процессы.

Категорирование объектов КИИ – это основа построения системы кибербезопасности и соблюдения требований регуляторов.

Как мы помогаем субъекту КИИ

Мы помогаем субъекту КИИ:

• определить перечень объектов КИИ,
• установить их категорию значимости,
• сформировать обоснованные требования по защите в соответствии с нормативами ФСТЭК России.

Состав работ по аудиту и категорированию КИИ

Предварительный аудит для оценки исходного соответствия требованиям к субъектам КИИ и разработка технического задания.

Описание: Диагностика текущего уровня выполнения требований 187-ФЗ и подзаконных актов, анализ документации и инфраструктуры.

Результат: Техническое задание на проведение аудита и категорирования, согласованное с заказчиком.

Разработка технического проекта.

Описание: Проектирование системы защиты значимого объекта КИИ в соответствии с требованиями ФСТЭК, включая выбор архитектуры и мер защиты.

Результат: Технический проект в соответствии с Приказами ФСТЭК № 235, 239.

Подбор средств защиты информации с учетом текущего парка.

Описание: Анализ существующего парка СЗИ, определение недостающих средств, подбор оптимальных по соотношению «цена-качество» решений.

Результат: Перечень рекомендованных к внедрению сертифицированных средств защиты информации.

Проведение тестирования на проникновение.

Описание: Практическая проверка защищённости инфраструктуры в соответствии с новой методикой ФСТЭК, выявление уязвимостей.

Результат: Отчёт о проведении тестирования на проникновение по новой методике ФСТЭК.

Разработка локальных нормативных актов по защите объектов КИИ.

Описание: Формирование полного пакета организационно-распорядительной документации, регламентирующей защиту КИИ.

Результат: Пакет документов, разработанных в соответствии с Приказами ФСТЭК № 235, 239.

Разработка рабочей (эксплуатационной) документации на значимый объект в части обеспечения его безопасности.

Описание: Создание эксплуатационных инструкций, регламентов мониторинга и реагирования для обслуживающего персонала.

Результат: Пакет рабочей и эксплуатационной документации, разработанных в соответствии с Приказами ФСТЭК № 235, 239.

Оценка соответствия подсистемы защиты объектов КИИ требованиям ИБ в форме аттестации или приемочных испытаний.

Описание: Комплексная проверка реализованных мер защиты на соответствие техническому проекту и требованиям регуляторов.

Результат: Аттестационная документация.

Разработка ЛНА по организации взаимодействия с ГосСОПКА.

Описание: Подготовка регламентов и инструкций по подключению к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Результат: Пакет документов в соответствии с Приказами ФСБ России № 196 от 24.07.2018, № 281 от 24.07.2018, № 282 от 24.07.2018, № 367 от 24.07.2018, № 368 от 24.07.2018.