Услуги по категорированию объектов КИИ (187-ФЗ) под ключ

Федеральный закон № 187-ФЗ обязывает владельцев критической информационной инфраструктуры обеспечивать безопасность своих систем. Субъекты КИИ проводят категорирование объектов для определения уровня их защиты. Эта процедура закладывает основу системы безопасности предприятия. Результаты расчетов определяют объем инвестиций в защиту и меру ответственности руководителей предприятия.

Категорирование объектов КИИ представляет собой оценку масштаба последствий от возможных кибератак. Комиссия присваивает объекту одну из трех категорий значимости либо принимает решение об их отсутствии. Процедура требует строгого соблюдения регламентов Правительства РФ. Ошибки в расчетах приводят к санкциям регуляторов или избыточным расходам на покупку средств защиты.

Занижение категории значимости создает ложное чувство безопасности. В случае реального инцидента с тяжелыми последствиями расчеты комиссии проверят следственные органы.

Отрасли подпадающие под действие 187-ФЗ

Закон распространяется на государственные органы, юридические лица и индивидуальных предпринимателей. Вы обязаны начать процедуру, если владеете информационными системами или автоматизированными системами управления в стратегических секторах. Регулятор проверяет наличие лицензий и фактическую деятельность организации.

Список сфер деятельности включает:

• Здравоохранение, наука и транспорт.
• Связь, энергетика и топливно-энергетический комплекс.
• Банковская сфера и финансовые рынки.
• Атомная энергия, оборонная и ракетно-космическая промышленность.
• Горнодобывающая, металлургическая и химическая промышленность.

Даже небольшие компании в этих отраслях часто владеют объектами КИИ. Например, частная клиника управляет медицинской информационной системой, а транспортная компания использует навигационные сети. ФСТЭК России контролирует исполнение закона и направляет предписания о начале категорирования организациям из этих списков.

Этапы категорирования объектов КИИ под ключ

Процесс проходит по алгоритму из Постановления Правительства РФ № 127. Мы берем на себя методическую работу и оформление документов. Это исключает возврат актов на доработку и сокращает сроки согласования.

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

1. Формирование комиссии

Руководитель организации издает приказ о создании комиссии. В состав входят технические специалисты, специалисты по безопасности, юристы и главные инженеры. Комиссия отвечает за достоверность предоставленных во ФСТЭК данных. Мы помогаем подготовить положение о комиссии и распределить обязанности между участниками.

2. Поиск критических процессов

Комиссия анализирует деятельность предприятия. Эксперты выделяют управленческие, технологические и финансовые процессы. Нарушение этих процессов из-за кибератаки может нанести вред государству или гражданам. На основе анализа комиссия формирует перечень объектов КИИ. Этот список вы отправляете во ФСТЭК для согласования в течение 10 дней после утверждения.

3. Оценка показателей значимости

Для каждого объекта специалисты моделируют сценарии атак. Мы рассчитываем ущерб по пяти группам критериев:

1. Социальный критерий. Оцениваем риск причинения вреда жизни людей или нарушения работы систем жизнеобеспечения.
2. Экономический критерий. Рассчитываем прямой ущерб бюджету или потери субъекта КИИ в рублях.
3. Экологический критерий. Анализируем вероятность выброса вредных веществ или загрязнения среды.
4. Политический критерий. Учитываем влияние на международные отношения и работу органов власти.
5. Оборонный критерий. Проверяем значение объекта для безопасности страны и выполнения гособоронзаказа.

Документальное оформление результатов

Комиссия фиксирует итоги работы в Акте категорирования. В документе указываются сведения об объекте, присвоенная категория и обоснование решения. Руководитель утверждает акт. После этого вы готовите Сведения о результатах категорирования для отправки регулятору. ФСТЭК проверяет документы в течение 30 дней. Регулятор имеет право потребовать пересмотра категории, если найдет ошибки в методике расчетов.

Правильная квалификация объектов снижает затраты на внедрение систем безопасности (СОПКИ). Лишняя категория обязывает закупать дорогостоящее оборудование и нанимать дополнительный персонал.

Риски и ответственность руководства

Игнорирование требований 187-ФЗ влечет административные штрафы по статье 13.12.1 КоАП РФ. Суммы для юридических лиц достигают сотен тысяч рублей. Однако главная опасность заключается в уголовном преследовании. Статья 274.1 УК РФ предусматривает лишение свободы на срок до 10 лет за нарушение правил эксплуатации объектов КИИ, которое повлекло вред инфраструктуре.

Мы предлагаем экспертную поддержку на каждом этапе. Наши инженеры проводят технический аудит, а юристы проверяют соответствие документов актуальным приказам ФСТЭК № 235 и № 239. Вы получаете готовый пакет документов, который успешно проходит проверку регулятора. Закажите консультацию для оценки объема работ на вашем предприятии.