Закрыть.
Выбор города
АлфавитРегион

    Консалтинговая группа Astels.

    Федеральный

    8(800) 70-70-144

    Оставить заявку

    Заказать звонок

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Взаимодействие ИБ и ИТ департаментов при категорировании КИИ: решение конфликтов

    Взаимодействие ИБ и ИТ департаментов при категорировании КИИ: решение конфликтов

    Взаимодействие ИБ и ИТ при категорировании КИИ: регламент, матрица RACI и SLA. Практическое руководство для CISO и CIO.

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Взаимодействие ИБ и ИТ департаментов при категорировании КИИ: решение конфликтов

    Взаимодействие ИБ и ИТ департаментов при категорировании КИИ: решение конфликтов

    Конфликт между ИБ и ИТ при категорировании объектов КИИ — системная проблема, которая приводит к срыву сроков, невыявленным объектам и замечаниям ФСТЭК. В этой статье — практические инструменты для выстраивания бесконфликтного взаимодействия: матрица зон ответственности, пошаговый регламент передачи данных, шаблон внутреннего SLA и механизм эскалации споров.

    Содержание

    1. Почему ИБ и ИТ конфликтуют при категорировании КИИ: корневые причины
    2. Нормативная рамка: что закон требует от каждого подразделения
    3. Карта конфликтов: 5 типичных точек столкновения CISO и CIO
    4. Матрица зон ответственности ИБ и ИТ при работе с объектами КИИ
    5. Регламент передачи данных об IP-адресах и новых системах: пошаговый алгоритм
    6. SLA между ИБ и ИТ: шаблон внутреннего соглашения
    7. Автоматизация обмена данными: как убрать человеческий фактор
    8. Эскалация и арбитраж: что делать, когда регламент не работает
    9. Чек-лист внедрения: 12 шагов к бесконфликтному взаимодействию

    Почему ИБ и ИТ конфликтуют при категорировании КИИ: корневые причины

    Конфликт между департаментами информационной безопасности (ИБ) и информационных технологий (ИТ) при категорировании объектов критической информационной инфраструктуры — не случайность и не проблема конкретных людей. Это системное противоречие, заложенное в саму структуру управления: ИТ-подразделение отвечает за работоспособность и доступность систем («чтобы работало»), а ИБ — за защиту и соответствие нормативным требованиям («чтобы работало по правилам»). При категорировании КИИ эти цели сталкиваются лоб в лоб.

    CIO видит в процессе категорирования дополнительную нагрузку на команду: нужно собирать данные об информационных системах, описывать архитектуру, указывать IP-адреса и доменные имена, выгружать сведения о технологическом стеке. Для ИТ-специалистов, загруженных поддержкой инфраструктуры и текущими проектами, это выглядит как «чужая задача». CISO, напротив, не может провести категорирование без данных от ИТ: именно ИТ-отдел владеет информацией о составе систем, их сетевых атрибутах и взаимосвязях.

    По нашему опыту сопровождения более 7 000 проектов, конфликт ИБ и ИТ является причиной срыва сроков категорирования в 60% случаев. Причём проблема не в злонамеренности, а в отсутствии формализованного процесса передачи данных и чёткого разграничения зон ответственности.

    Нормативная рамка: что закон требует от каждого подразделения

    Требования к взаимодействию ИБ и ИТ при категорировании не абстрактны — они прямо вытекают из нормативной базы. Разберём ключевые документы и зафиксируем, какие обязательства они создают для каждого подразделения.

    187-ФЗ и Постановление Правительства № 1762

    Федеральный закон № 187-ФЗ возлагает ответственность за категорирование на субъект КИИ как юридическое лицо. Постановление Правительства № 1762 (новая редакция ПП РФ № 127) конкретизирует процедуру и требует включения в комиссию по категорированию специалистов как по ИБ, так и по ИТ (пункт 11). Это не рекомендация — это обязательное требование, невыполнение которого влечёт возврат документов ФСТЭК.

    Приказ ФСТЭК № 236: IP-адреса и домены

    Приказ ФСТЭК № 236 обязывает субъект КИИ при подаче сведений указывать доменные имена и IP-адреса объектов, взаимодействующих с сетью Интернет. Эти данные находятся в ведении ИТ-отдела: системные и сетевые администраторы владеют информацией о DNS-записях, пулах IP-адресов, VLAN-структуре. Без оперативного получения этих сведений служба ИБ физически не может заполнить форму сведений для ФСТЭК.

    Указ Президента № 250

    Указ № 250 возлагает персональную ответственность за обеспечение безопасности КИИ на заместителя руководителя организации. На практике это CISO или лицо, исполняющее его функции. Но CISO не может выполнить свои обязанности без содействия CIO: данные об инфраструктуре, доступ к системам мониторинга, результаты инвентаризации ИТ-активов — всё это находится в зоне ответственности ИТ.

    Карта конфликтов: 5 типичных точек столкновения CISO и CIO

    На основе анализа реальных проектов мы составили карту типичных конфликтов, которые возникают между ИБ и ИТ при категорировании и эксплуатации объектов КИИ. Каждый из них — не теоретический, а регулярно встречающийся сценарий.

    Точка конфликта Позиция ИТ (CIO) Позиция ИБ (CISO) Последствия бездействия
    Ввод новой ИС без уведомления ИБ «Систему заказал бизнес, задача — развернуть быстрее» «Новая ИС может быть объектом КИИ — её нужно категорировать» Невыявленный объект КИИ, штраф до 500 тыс. руб.
    Изменение IP-адресов без передачи в ИБ «Плановая миграция, не влияет на безопасность» «Во ФСТЭК уходят устаревшие сведения — это нарушение» Несоответствие данных в реестре, замечание при проверке
    Задержка данных для инвентаризации «Мы загружены проектами, предоставим позже» «Без данных нельзя подать сведения в срок» Срыв сроков повторного категорирования
    Занижение значимости объекта «Высокая категория означает дорогие СЗИ и ограничения для ИТ» «Занижение — нарушение, ФСТЭК это выявит» Возврат документов, замечания ФСТЭК
    Установка СЗИ, влияющих на производительность «Средства защиты тормозят бизнес-системы» «Без СЗИ не выполнить требования Приказа ФСТЭК № 239» Либо нарушение нормативных требований, либо простой сервисов

    Ключевая мысль: ни одна из сторон не виновата. ИТ-директор прав, что его основная задача — обеспечить бесперебойную работу систем. CISO прав, что без данных от ИТ нельзя выполнить требования закона. Проблема — в отсутствии регламента, который связывает обе зоны ответственности в единый процесс.

    Матрица зон ответственности ИБ и ИТ при работе с объектами КИИ

    Для устранения конфликтов нужно зафиксировать, кто за что отвечает. Ниже — авторская матрица распределения зон ответственности по ключевым задачам, связанным с категорированием и эксплуатацией объектов КИИ. Матрица построена по модели RACI: R — ответственный исполнитель, A — утверждающий, C — консультируемый, I — информируемый.

    Задача ИБ (CISO) ИТ (CIO) Бизнес Руководство
    Инвентаризация ИС, АСУ и сетей C R I A
    Сбор IP-адресов и доменных имён I R
    Определение границ объектов КИИ R C C A
    Сопоставление с перечнями типовых объектов R C C I
    Моделирование угроз R C I
    Присвоение категории значимости R C C A
    Подача сведений во ФСТЭК R I A
    Уведомление ИБ о новых/изменённых ИС I R
    Внедрение и эксплуатация СЗИ R C A
    Актуализация данных при изменениях инфраструктуры C R I

    Эта матрица — не формальность. Мы рекомендуем утвердить её приказом руководителя организации и приложить к организационно-распорядительной документации по КИИ. Без фиксированного распределения ролей каждая новая задача по категорированию превращается в переговоры «кто это будет делать».

    Для кого эта услуга

    Горнодобывающая промышленность

    Горнодобывающая промышленность

    Транспорт

    Транспорт

    Связь

    Связь

    Топливно-энергетический комплекс

    Топливно-энергетический комплекс

    Химическая промышленность

    Химическая промышленность

    Оборонная промышленность

    Оборонная промышленность

    Энергетика

    Энергетика

    Атомная энергия

    Атомная энергия

    Здравоохранение

    Здравоохранение

    О нашей компании

    Постоянно сотрудничаем с крупными государственными и международными корпорациями

    Четко выполняем требования контролирующих организаций

    Непрерывно работаем над улучшением нашего профессионализма

    Послепродажная поддержка в правовых аспектах

    Беспроцентная рассрочка (до 4 месяцев)

    Бесплатная доставка документации по регионам России лично к заказчику

    Клиенты

    Фуд-торг
    Гринлайт
    ЭНТЦ
    Ловозерский ГОК
    ГеоПромИнжиниринг
    Присоединиться

    Благодарственные письма

    Благодарственное письмо от СМУ № 5
    Благодарственное письмо от Взрывстрой
    Благодарственное письмо от УРГЭУ-СИНХ
    Благодарственное письмо от Казино Оракул
    Благодарственное письмо от Наш Продукт
    Благодарственное письмо от ГАПОУ Уральский политехнический колледж
    Благодарственное письмо от СоюзПромЭкспо
    Благодарственное письмо от УО Сысерть
    Благодарственное письмо от ХАЯТТ

    Регламент передачи данных об IP-адресах и новых системах: пошаговый алгоритм

    Одна из самых частых практических проблем — ИТ-отдел вводит в эксплуатацию новую информационную систему или меняет сетевые параметры существующей, а служба ИБ узнаёт об этом постфактум (или не узнаёт вовсе). В результате во ФСТЭК уходят неактуальные сведения, а потенциальные объекты КИИ остаются невыявленными. Вот алгоритм, который решает эту проблему.

    Шаг 1. Триггер — событие в ИТ-инфраструктуре. ИТ-отдел фиксирует одно из следующих событий: ввод в эксплуатацию новой ИС, АСУ или сети; изменение IP-адресов или доменных имён; вывод системы из эксплуатации; существенная модернизация (смена платформы, миграция в облако).

    Шаг 2. Уведомление ИБ. В течение 3 рабочих дней с момента события ИТ-отдел направляет в службу ИБ уведомление по утверждённой форме. Форма должна содержать: наименование системы, функциональное назначение, перечень IP-адресов и доменных имён, состав технологического стека, связи с другими системами.

    Шаг 3. Оценка ИБ. Служба ИБ в течение 5 рабочих дней определяет: является ли система потенциальным объектом КИИ (по перечням типовых объектов); требуется ли категорирование или пересмотр категории существующего объекта; необходимо ли обновить сведения во ФСТЭК.

    Шаг 4. Решение комиссии. Если система признана потенциальным объектом КИИ, вопрос выносится на заседание комиссии по категорированию. Комиссия проводит категорирование в установленные ПП № 127 сроки.

    Шаг 5. Обратная связь. Служба ИБ уведомляет ИТ-отдел о результатах оценки и решении комиссии. Если объекту присвоена категория значимости, ИТ-отдел получает перечень мер защиты, которые необходимо реализовать совместно.

    SLA между ИБ и ИТ: шаблон внутреннего соглашения

    Регламент — это «что делать». Но он не работает без фиксации «в какие сроки» и «какие последствия за нарушение». Для этого нужно внутреннее соглашение об уровне сервиса (SLA) между ИБ и ИТ. Такое соглашение — не стандартная практика для российских организаций, но именно его наличие отличает компании, которые проходят проверки ФСТЭК без замечаний.

    Ниже — ключевые параметры, которые должны быть зафиксированы в SLA.

    Параметр SLA Срок / значение Ответственный
    Уведомление о вводе новой ИС Не позднее 3 рабочих дней ИТ → ИБ
    Уведомление об изменении IP / доменов Не позднее 1 рабочего дня ИТ → ИБ
    Предоставление полных данных для инвентаризации Не позднее 10 рабочих дней с момента запроса ИТ → ИБ
    Оценка принадлежности к объектам КИИ Не позднее 5 рабочих дней ИБ
    Согласование установки СЗИ на серверы ИТ Совместное тестирование не менее 5 рабочих дней ИБ + ИТ
    Ежеквартальная сверка реестра объектов КИИ До 15-го числа последнего месяца квартала ИБ + ИТ совместно

    Типичная ошибка: организации фиксируют SLA только «сверху вниз» — обязанности ИТ перед ИБ. Но SLA должно быть двусторонним: ИБ тоже берёт на себя обязательства — например, заблаговременно уведомлять ИТ о планируемой установке СЗИ, проводить совместное тестирование, не блокировать системы без согласования.

    Автоматизация обмена данными: как убрать человеческий фактор

    Даже самый подробный регламент работает ровно до тех пор, пока люди его выполняют. Единственный способ гарантировать актуальность данных об объектах КИИ — автоматизация. Рассмотрим три уровня зрелости.

    Уровень 1: Общий реестр (электронная таблица)

    Минимальный вариант для небольших организаций (до 20 объектов КИИ). ИТ и ИБ ведут общий реестр в формате Excel или Google Sheets с обязательными полями: наименование ИС, IP-адреса, домены, дата последнего обновления, статус категорирования. Назначается ответственный за актуализацию. Главный недостаток — зависимость от дисциплины.

    Уровень 2: Интеграция через ITSM / Service Desk

    ИТ-отдел уже использует систему управления ИТ-услугами (ServiceNow, Jira Service Management, GLPI и др.). В процесс управления изменениями (Change Management) встраивается обязательный чек-бокс: «Изменение затрагивает объект КИИ?» При положительном ответе автоматически создаётся задача на службу ИБ. Это устраняет риск «забыли уведомить».

    Уровень 3: SGRC-платформа

    Специализированные системы Security Governance, Risk and Compliance (SGRC) автоматически собирают данные об ИТ-активах из CMDB, Zabbix, NetBox, Active Directory. При появлении нового актива или изменении сетевых параметров система автоматически уведомляет ИБ и сопоставляет актив с перечнями типовых объектов КИИ. Это наиболее зрелый подход, который полностью исключает человеческий фактор в процессе передачи данных.

    Выбор уровня зависит от масштаба организации и бюджета. Но даже минимальная автоматизация (уровень 1) кратно снижает риск конфликтов: спор «кто должен был предоставить данные» превращается в объективную запись в реестре.

    Эскалация и арбитраж: что делать, когда регламент не работает

    Даже при наличии регламента и SLA бывают ситуации, когда ИБ и ИТ не могут договориться. Например: ИТ считает, что система не является объектом КИИ, а ИБ настаивает на категорировании. Или ИТ отказывается устанавливать средство защиты, ссылаясь на риск простоя. Для таких случаев необходим механизм эскалации.

    Уровень 1: Рабочее совещание. CISO и CIO проводят встречу с привлечением владельца бизнес-процесса. Цель — совместно оценить риски и принять обоснованное решение. В 80% случаев конфликт разрешается на этом уровне, если обе стороны видят полную картину.

    Уровень 2: Комиссия по категорированию. Неразрешённые вопросы выносятся на заседание комиссии по категорированию. Решение комиссии фиксируется протоколом и является обязательным для обоих подразделений.

    Уровень 3: Решение руководителя организации. Если комиссия не пришла к консенсусу (например, голоса разделились поровну), вопрос выносится на уровень генерального директора или заместителя, ответственного за безопасность КИИ (в соответствии с Указом № 250). Руководитель принимает финальное решение и несёт за него персональную ответственность.

    Критическое правило: до момента принятия решения по спорному объекту действует принцип «безопасность по умолчанию» — система рассматривается как потенциальный объект КИИ и к ней применяются базовые меры защиты. Это снижает риск штрафов в случае проверки ФСТЭК до завершения спора.

    Чек-лист внедрения: 12 шагов к бесконфликтному взаимодействию

    Ниже — практический чек-лист, который мы используем при настройке взаимодействия ИБ и ИТ у клиентов. Его можно взять за основу и адаптировать под специфику организации.

    1. Провести стартовую встречу CISO и CIO. Синхронизировать понимание требований 187-ФЗ, ПП № 1762, методики ФСТЭК. Зафиксировать общие цели.
    2. Утвердить матрицу RACI. Распределить зоны ответственности по каждой задаче категорирования (используйте таблицу из раздела 4 этой статьи).
    3. Разработать и утвердить регламент передачи данных. Зафиксировать триггеры, форматы уведомлений, сроки (см. раздел 5).
    4. Подписать внутреннее SLA между ИБ и ИТ. Зафиксировать сроки, ответственных, порядок эскалации (см. раздел 6).
    5. Включить чек-бокс «КИИ» в процесс Change Management. Любое изменение в инфраструктуре должно проверяться на влияние на объекты КИИ.
    6. Создать общий реестр объектов КИИ. Доступный ИБ и ИТ, с фиксацией IP-адресов, доменов, дат обновления.
    7. Назначить ответственного за актуализацию реестра. Конкретный сотрудник, конкретные сроки обновления.
    8. Провести совместное обучение. ИТ-специалисты должны понимать, зачем нужны данные для ИБ; ИБ-специалисты должны знать, как работает ИТ-инфраструктура.
    9. Настроить автоматизацию. Выбрать уровень в зависимости от зрелости: Excel, ITSM или SGRC.
    10. Установить периодичность совместных сверок. Рекомендуем ежеквартально. Оформлять протоколом.
    11. Включить взаимодействие по КИИ в KPI обоих подразделений. Пока категорирование не влияет на оценку ИТ-специалистов, оно будет восприниматься как «чужая задача».
    12. Проводить ежегодный аудит процесса. Проверять, выполняется ли регламент, актуален ли реестр, все ли объекты КИИ выявлены.

    Итог

    Конфликт между ИБ и ИТ при категорировании КИИ — это не проблема «плохих людей», а следствие отсутствия системного подхода к взаимодействию. Каждое подразделение выполняет свою функцию, но без формализованных процессов их зоны ответственности пересекаются, а данные теряются на стыках.

    Три ключевых инструмента решают проблему: матрица RACI, регламент передачи данных и внутреннее SLA. Вместе они превращают хаотичное взаимодействие в управляемый процесс, где каждый знает свою роль, сроки и последствия бездействия. Автоматизация через SGRC или ITSM закрепляет результат и исключает человеческий фактор.

    Начните с малого: проведите совместную встречу CISO и CIO, зафиксируйте текущие болевые точки и утвердите матрицу ответственности. По нашему опыту, организации, которые формализуют взаимодействие ИБ и ИТ, проходят повторное категорирование в среднем на 45% быстрее и с минимальными замечаниями регулятора.

    Нужна помощь с выстраиванием взаимодействия ИБ и ИТ при категорировании КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку ваших процессов и помогут разработать регламент, матрицу ответственности и SLA для вашей организации.

    Медиа

    Работы 1
    Работы 2
    Работы 3
    Работы 4
    Работы 5
    Работы 6
    Работы 7

    Была ли полезна вам данная статья?

    Да Нет

    Расчет стоимости

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Отправить запрос

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Ваш менеджер
    Кирилл Соколов

    Кирилл Соколов

    8(800) 70-70-144

    info@sertifikat.bz


    Услуги

    ООО «Астелс» - Центр стандартизации и экспертизы

    8(800) 70-70-144

    info@sertifikat.bz

    Мы в соц. сетях:

    Политика конфеденциальности
    Карта сайта

    г. Екатеринбург

    г. Москва

    г. Челябинск

    г. Казань

    г. Пермь

    г. Волгоград

    г. Нижний Новгород

    г. Омск

    г. Новосибирск

    г. Воронеж

    г. Санкт-Петербург

    г. Ростов-на-Дону

    г. Самара

    г. Красноярск

    г. Уфа

    Города

    * Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000. 

    © ООО «Астелс» - Консалтинговая группа» 2012 - 2024

      8(800) 70-70-144 Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград  

    * На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности

    Последнее обновление сайта: 17.03.2026