Что такое перечень объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Перечень объектов КИИ — это официально сформированный и утверждённый список информационных систем, АСУ и ИТ-инфраструктур, которые субъект КИИ признал объектами критической информационной инфраструктуры. Этот перечень определяет, какие именно объекты подлежат категорированию и дальнейшему выполнению требований 187-ФЗ. Без перечня невозможно корректно выстроить работу с КИИ.

Что говорит законодательство

Федеральный закон № 187-ФЗ устанавливает, что субъект КИИ обязан выявлять объекты КИИ, принадлежащие ему на праве собственности или ином законном основании.

В соответствии с требованиями 187-ФЗ и Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, субъект КИИ:

• выявляет объекты КИИ;

• формирует перечень таких объектов;

• использует перечень как основу для проведения категорирования.

Закон не допускает выборочного или произвольного категорирования — категорирование проводится только в отношении объектов, включённых в перечень.

Как это работает на практике

На практике перечень объектов КИИ:

• формируется на начальном этапе работ по КИИ;

• включает все выявленные объекты КИИ, независимо от будущей категории значимости;

• утверждается руководителем субъекта КИИ;

• используется как:

  • база для категорирования;

  • ориентир для актуализации;

  • исходный документ при проверках регулятора.

Обычно в перечне указываются:

• наименование объекта КИИ;

• тип объекта (информационная система, АСУ и т.п.);

• назначение и основные функции;

• принадлежность к процессам или видам деятельности;

• статус объекта (подлежит категорированию, прошёл категорирование и т.д.).

Важно:

• объект, отсутствующий в перечне, не может считаться корректно категорированным;

• неполный перечень расценивается как неполное выявление объектов КИИ;

• перечень подлежит обязательной актуализации при изменении инфраструктуры.

Выводы и рекомендации

Перечень объектов КИИ — это базовый документ, фиксирующий состав критической информационной инфраструктуры субъекта КИИ. Он служит отправной точкой для категорирования и всей последующей работы по КИИ.

Рекомендуется:

• формировать перечень до начала категорирования;

• включать в него все выявленные объекты без предварительного «отсечения»;

• утверждать перечень руководителем субъекта КИИ;

• регулярно актуализировать перечень при изменениях инфраструктуры.

Корректно сформированный и актуальный перечень объектов КИИ — ключевое доказательство выполнения требований 187-ФЗ и основа для правомерной работы с критической информационной инфраструктурой.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге