Сообщения

Сообщения за май, 2018

КИИ. Категорирование объектов, часть 2

Изображение
Продолжаем проводить категорирование объектов КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы начали определять процессы субъекта КИИ. Небольшое отступление чтобы объяснить при чем тут процессы: ·          в итоге категорирования мы должны определить попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, АСУ, телеком сети) в категории значимости ·          очевидно, что если объект КИИ автоматизирует или предоставляет информацию для обеспечения определенного процесса организации, то ущерб от инцидента на объекте не может превышать максимального ущерба от нарушения всего процесса, включающего как автоматизированную, так и неавтоматизированную деятельность (например, если от полного прекращения деятельности службы скорой помощи, медицинская помощь не будет оказана 1000 человек, по статистике 10% из которых=100 приведут к ущербу здоровью, то от нарушения деятельности АСУ диспетчерской службы скорой помощи, деятельность по

КИИ. Категорирование объектов, часть 1

Изображение
Давайте будем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. Будем руководствоваться следующими НПА: ·         Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" ·         Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений” ·         Приказ ФСТЭК России ОТ 06.12.2017 N 227 "Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации" ·         Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости ли

КИИ. Какие ГОСы попадают сферу КИИ?

Изображение
Срок на категорирование объектов критической информационной инфраструктуры РФ скоро заканчивается ; )   а многие организации только сейчас начинают планировать мероприятия в этой части. Если с коммерческими компаниями вопрос попадания или не попадания их в сферу действия ФЗ о безопасности КИИ решается достаточно просто, то с государственными органами и учреждениями ситуация сложнее. В ряде регионов от регуляторов проводилась рассылка на все гос. органы с требованием провести категорирование объектов КИИ. Но по факту им надо было сначала определится с попаданием с сферу КИИ, а потом уже проводить или не проводить категорирование. Вспомним рекомендации ФСТЭК в этой части: 1.        ОКВЭД. Давайте посмотрим несколько примеров. ·          Минздрав: 84 .11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительств исполнительных органов государственной власти субъектов Российской Федер