Объекты КИИ - Форум по вопросам информационной безопасности

Добрый день.

Хотелось бы попросить помощи с выделением объектов КИИ в предприятии оборонно-промышленного комплекса.
.
1) Ранее в качестве такого объекта была предоставлена вся локальная сеть предприятия.
Судя по ответу ФСТЭК - это не совсем корректно.
Но из нормативки следует, что сети попадают под объекты КИИ.
В случае проведения аттестации всей сети как объекта КИИ необходимо атестовывать каждый отдельно стоящий АРМ, верно?

2) Если не рассматривать сеть целиком как объекты КИИ, а отталкиваться от критических узлов, таких как сервера, на которых хранятся базы данных, телекоммуникационное оборудование, нужно ли отдельно подавать каждый сервер и единицу оборудования как отдельный объект, или допустимо подавать классами (виртуальные сервера, физические сервера, базы 1с (обощенно) и т д), делая модель угроз и другие документы не не конкретную единицу, а на класс?

3) Необходимо ли категорировать рабочие станции, которые подключаются к ИСУП (базы данных расположены в головном предприятии)? Ведь серверную часть ИСУП (базы данных) в данном случае мы защищить не можем.

Primo, относить всю ЛВС к КИИ - это реально перебор за редким исключением. Особенно, если это объединение нескольких структурных подразделений одной организации с разными задачами и направлениями работы, базами данных по этим направлениям, набором программных и технических средств и т.п. Защитить - не вопрос. Но категорировать и тем более аттестовать - это, пожалуй, выстрел себе в ногу, ага...
Secundo, аттестация (а для КИИ и даже ЗОКИИ это в явном виде не требуется - приемочные испытания могут проводиться в иной форме) проводится для объекта информатизации в целом (не будем сейчас углубляться в понятие "сегментирование", ага). Как определите объект, так и проводите аттестацию. А каждое АРМ в отдельности или их совокупность - вам решать как владельцу/эксплуатанту объекта, с учетом текущих требований, приказов и постановлений, техпроцесса обработки информации, логики работы, экономических факторов и еще многих других нюансов...
Tertio, классов не бывает - бывают совокупности техн.средств, ПО, БД и персонала, участвующего во всем этом бардаке. Это и есть (упрощенно) объект информатизации - информационные системы, автоматизированные системы управления, инф.-телеком. сети и т.п., каждый из которых можно при желании подтянуть под объект КИИ. А можно и не подтягивать, найдя хорошее обоснование (если нет "команды сверху", ага)...
Quatro, ИСУП - это ИС управления проектами? Тогда это просто "информационная система" в контексте законодательства. Если она участвует в критических процесса деятельности вашей организации - она может быть и объектом КИИ тоже. Если ее функционирование влияет на социалку, экономику, экологию, политку и т.д. страны или вас-как-гос-учреждение, то она может быть ЗОКИИ (значимым объектом, см. ПП РФ 127 за 2018 г.). Если... то она может быть дополнительно инф.сист. перс.данных. Если... то она может быть еще и гос.инф.системой... Если... короче, много тут этих "если"...
Last, сходите на курсы по ТЗКИ или по тем же КИИ. Так будет реально быстрее и проще...