Опыт ЗИКС: как правильно организовать сбор данных, избежать разночтений с регуляторами и пройти категорирование с первого раза
Категорирование объектов критической информационной инфраструктуры (КИИ) — один из самых сложных и ответственных этапов в построении системы информационной безопасности. Именно от корректного выполнения этой процедуры зависит, какой класс защиты будет назначен объекту, какие меры безопасности нужно внедрить и как компания будет взаимодействовать с регуляторами.
Тем не менее, даже опытные организации часто теряют на этом этапе недели и месяцы, допуская типичные ошибки — от неполного сбора данных до разночтений в формулировках документов.
Компания ЗИКС делится практическим опытом, как пройти категорирование быстро, корректно и без возвращения документов «на доработку».
Что такое категорирование КИИ и зачем оно нужно
Категорирование — это процесс определения значимости объекта КИИ, степени возможных последствий при его нарушении и соответствующего уровня требований к защите.
Проще говоря, это отправная точка для построения всей системы безопасности:
от класса объекта (К1, К2, К3) зависит набор обязательных мер;
без акта категорирования невозможно приступить к проектированию системы защиты;
результаты категорирования направляются в ФСТЭК России и могут проверяться при аудите.
Категорирование регулируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соответствующими приказами №235 и №239 ФСТЭК России.
Где компании теряют время: 5 типичных ошибок
1. Неполный сбор исходных данных
Часто организации начинают категорирование без полной картины инфраструктуры: нет актуальных схем, перечней автоматизированных систем, серверов, каналов связи.
В итоге документы приходится переделывать после аудита, а согласования сдвигаются на месяцы.
2. Непонимание границ объекта КИИ
Ошибка в определении границ приводит к тому, что часть систем «выпадает» из описания или, наоборот, включается лишнее.
Регуляторы обращают на это особое внимание: неправильное выделение границ — одна из частых причин возврата материалов на доработку.
3. Формальный подход к оценке последствий
Некоторые компании определяют категорию «на глаз», не обосновывая последствия нарушения конфиденциальности, целостности и доступности информации.
В результате документы не выдерживают проверки экспертов и регуляторов, а организация вынуждена пересматривать категорию.
4. Отсутствие вовлечения технических специалистов
Часто категорирование ведётся только силами отдела ИБ, без участия ИТ, технологов и инженеров.
Без понимания реальных процессов и связей система описывается неполно, а модель угроз теряет практическую ценность.
5. Несогласованность с регуляторами
Даже корректно оформленный пакет документов может вызвать вопросы, если его структура и термины не соответствуют методическим рекомендациям ФСТЭК.
Наличие опытного исполнителя, знакомого с практикой согласований, позволяет сократить этот риск почти до нуля.
Как правильно организовать процесс категорирования
1. Подготовительный этап: инвентаризация
Необходимо собрать максимум исходных данных:
перечень автоматизированных систем, технологических сегментов, серверов, СВТ;
архитектуру сетей и схемы взаимодействия;
перечень обрабатываемой информации, включая данные, относящиеся к объектам КИИ.
Компания ЗИКС применяет практику предварительного обследования, позволяющего выявить все потенциальные объекты защиты до начала формальной процедуры.
2. Определение границ объекта
На этом этапе важно разделить технологические и корпоративные сегменты, исключить дублирование, определить, какие системы относятся к критическим.
От корректного выделения границ зависит достоверность модели угроз и точность акта категорирования.
3. Оценка последствий и определение категории
Проводится анализ возможных последствий нарушения трёх свойств информации (конфиденциальности, целостности, доступности) и их влияния на жизнедеятельность организации и региона.
Результаты оформляются в пояснительной записке и акте категорирования.
4. Подготовка документов и согласование
Пакет включает:
акт категорирования;
сведения об объекте КИИ;
модель угроз безопасности информации;
схему взаимодействия систем;
пояснительную записку и рекомендации по классу защищённости.
Все документы проходят внутренний нормоконтроль и согласовываются с заказчиком до направления в ФСТЭК.
Как избежать разночтений с регуляторами
Компания ЗИКС опирается на собственную практику согласования более чем по 50 проектам в энергетике, промышленности и госсекторе.
Главное правило — работать строго по методическим рекомендациям ФСТЭК, но с учётом специфики объекта.
Ключевые принципы:
использовать актуальные версии форм и шаблонов, принятые в надзорных органах;
описывать угрозы и последствия понятным языком, без избыточной терминологии;
избегать дублирования информации в актах и моделях угроз;
фиксировать взаимосвязи систем в графическом виде (L2/L3 схемы, архитектурные диаграммы).
Опыт компании ЗИКС
За более чем 10 лет работы в области информационной безопасности компания ЗИКС реализовала десятки проектов по категорированию объектов КИИ федерального уровня — от энергетики и транспорта до государственных информационных систем.
В числе заказчиков —
Департамент информационных технологий города Москвы, ПАО «Ростелеком», ПАО «ГМК «Норильский Никель», Инжиниринговая компания «ГазЭнергоСтрой», ФГУП «ТТЦ Останкино», ПАО «РЖД», ГК «Ростех» и другие.
Наш подход к категорированию базируется на принципах:
комплексного анализа (включая ИТ, ИБ и технологические процессы);
точного документирования всех этапов;
минимизации сроков за счёт отлаженных процедур и отсутствия бюрократии внутри команды.
Что получает заказчик в результате
По итогам проекта заказчик получает:
корректно оформленный акт категорирования объекта КИИ;
модель угроз с учётом отраслевой специфики;
рекомендации по классу защищённости и перечень мер;
готовый пакет документов для предоставления в ФСТЭК;
основу для последующих этапов — проектирования и внедрения системы защиты.
Почему важно пройти категорирование с первого раза
Ошибка или формальность на этом этапе приводит к каскаду проблем:
проектные решения нужно пересматривать, документы переписывать, сроки внедрения системы защиты сдвигаются, а затраты возрастают.
Корректное категорирование позволяет:
заранее определить объём работ и бюджет;
избежать повторных проверок и предписаний;
построить систему защиты, соответствующую реальным рискам.
Заключение
Категорирование — это не просто формальная процедура, а основа всей системы информационной безопасности.
От того, насколько точно и грамотно оно выполнено, зависит, будет ли объект реально защищён или останется уязвимым на уровне проектных документов.
Опыт компании ЗИКС показывает: при правильной организации процесса, вовлечении всех подразделений и соблюдении требований ФСТЭК пройти категорирование можно с первого раза, без задержек и доработок.
