Как автоматизировать категорирование объектов КИИ с помощью R-Vision

В версии 4.0 R-Vision появилась возможность провести категорирование объектов КИИ в соответствии с порядком, утвержденным Постановлением Правительства № 127 от 08.02.2018, и сформировать в автоматическом режиме необходимый пакет документов:

  • Акт категорирования,
  • Сведения о присвоении категории значимости объекта КИИ,
  • Акт проверки.

Рассказываем, как именно работает этот функционал.

В R-Vision есть большой функциональный блок, посвященный работе с ИТ-активами. Он позволяет контролировать состояние ИТ-инфраструктуры, проводить инвентаризацию, управлять жизненным циклом активов, составить ресурсно-сервисную модель организации и поддерживать все эти сведения в актуальном состоянии.

Системы типа АСУТП, ИС, ГИС, ИСПДн и т.д. объединены в R-Vision под термином «Группы ИТ-активов». Для групп ИТ-активов появилась возможность указать, что они являются объектом КИИ.

 

 

После выставления флага «Объект КИИ» необходимо заполнить описание объекта, в котором указываются все данные, необходимые для дальнейшего формирования отчетности.

 

 

Встроенный калькулятор позволяет рассчитать категорию значимости объекта КИИ. Для этого необходимо оценить каждый из критериев значимости объекта, выбрав подходящее значение из выпадающего списка, и указать обоснование и точное значение критерия в поле «Комментарий». На основе введенных параметров система автоматически укажет соответствующую категорию.

В состав формы направления сведений о присвоении категории значимости объекта КИИ, согласно Приказу ФСТЭК №236, входят также сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры. Эти данные можно перенести из модели нарушителя пока в ручном режиме, в будущих версиях – автоматически.

Информацию об организационных и технических мерах, применяемых для обеспечения безопасности значимого объекта критической информационной инфраструктуры, можно импортировать из проведенной оценки по Приказу ФСТЭК № 239, которая теперь также доступна в R-Vision SGRC. Приказ разбит на три части, соответствующие трём уровням категории значимости.

По завершении процесса категорирования можно сформировать следующие документы:

  • Акт о категорировании,
  • Сведения о результатах присвоения объекту КИИ одной из категорий значимости в полном соответствии с формой, утвержденной Приказом ФСТЭК №236;
  • Акт проверки объекта КИИ.

Первый документ после его печати, подписания членами комиссии и утверждения руководителем субъекта КИИ, остается в организации, а второй необходимо направить во ФСТЭК в течение 10 дней.

Для формирования Акта проверки необходимо предварительно провести в отношении объекта КИИ аудит по Приказу ФСТЭК № 239. При создании отчета система автоматически выгрузит из оценки заведенные замечания, а также рекомендации аудитора.

Смотрите также короткий видео-обзор по данному функционалу:

Поделиться записью: