Какие требования предъявляются к заполнению форм по КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

При заполнении форм по КИИ ключевым является полное соответствие передаваемых сведений фактическим результатам категорирования, оформленным во внутренних документах субъекта КИИ. Формы не заполняются «произвольно»: каждая позиция должна быть обоснована актом категорирования и расчётами. Любые расхождения между формой и документами считаются нарушением.

Что говорит законодательство

Федеральный закон № 187-ФЗ возлагает на субъект КИИ обязанность представлять достоверные сведения об объектах КИИ и результатах их категорирования.

Порядок и формат представления сведений определяются регулятором — ФСТЭК России. Из требований закона и регуляторной практики следует, что при заполнении форм по КИИ должны соблюдаться следующие базовые принципы:

• достоверность и точность сведений;

• соответствие утверждённым результатам категорирования;

• полнота заполнения обязательных полей;

• актуальность данных на дату направления.

Как это работает на практике

На практике к заполнению форм по КИИ предъявляются следующие обязательные требования.

Достоверность сведений

• все данные должны соответствовать утверждённым актам категорирования;

• недопустимо округление, упрощение или «адаптация» сведений под ожидаемую категорию;

• категория значимости указывается строго та, которая зафиксирована в акте.

Полнота заполнения

• все обязательные поля формы должны быть заполнены;

• отсутствие данных не может заменяться общими формулировками;

• при отсутствии применимости показателя используется предусмотренное формой значение, а не произвольный текст.

Единообразие и согласованность

• сведения об объекте, субъекте КИИ и категории должны совпадать во всех передаваемых формах;

• даты решений должны соответствовать датам утверждения актов;

• наименование объекта должно быть идентичным внутренней документации.

Актуальность

• формы заполняются на основе последней утверждённой версии документов;

• при изменении категории или характеристик объекта сведения подлежат обновлению;

• использование устаревших данных рассматривается как искажение информации.

Прослеживаемость

• каждое значение в форме должно иметь источник во внутренних документах;

• при проверке субъект КИИ обязан подтвердить форму актом, расчётами и протоколами;

• невозможность подтвердить данные трактуется как нарушение.

Важно:

• формы не заменяют акт категорирования и расчёты;

• корректно заполненная форма без подтверждающих документов не считается достаточной;

• ошибки в формах приравниваются к предоставлению недостоверных сведений.

Выводы и рекомендации

К заполнению форм по КИИ предъявляются требования достоверности, полноты, согласованности и актуальности. Формы должны строго соответствовать утверждённым результатам категорирования и подтверждаться внутренними документами.

Рекомендуется:

• заполнять формы только после утверждения актов категорирования;

• использовать внутренний контроль сопоставления формы и документов;

• хранить подтверждающие материалы в готовности к проверке;

• не корректировать данные «для удобства» или «по аналогии».

Корректное заполнение форм по КИИ — это не формальность, а часть исполнения требований 187-ФЗ, напрямую влияющая на регуляторную оценку субъекта КИИ.