Что говорит законодательство
Федеральный закон № 187-ФЗ устанавливает, что субъект КИИ обязан выявлять объекты КИИ, принадлежащие ему на праве собственности или ином законном основании.
В соответствии с требованиями 187-ФЗ и Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, субъект КИИ:
-
выявляет объекты КИИ;
-
формирует перечень таких объектов;
-
использует перечень как основу для проведения категорирования.
Закон не допускает выборочного или произвольного категорирования — категорирование проводится только в отношении объектов, включённых в перечень.
Как это работает на практике
На практике перечень объектов КИИ:
-
формируется на начальном этапе работ по КИИ;
-
включает все выявленные объекты КИИ, независимо от будущей категории значимости;
-
утверждается руководителем субъекта КИИ;
-
используется как:
-
база для категорирования;
-
ориентир для актуализации;
-
исходный документ при проверках регулятора.
-
Обычно в перечне указываются:
-
наименование объекта КИИ;
-
тип объекта (информационная система, АСУ и т.п.);
-
назначение и основные функции;
-
принадлежность к процессам или видам деятельности;
-
статус объекта (подлежит категорированию, прошёл категорирование и т.д.).
Важно:
-
объект, отсутствующий в перечне, не может считаться корректно категорированным;
-
неполный перечень расценивается как неполное выявление объектов КИИ;
-
перечень подлежит обязательной актуализации при изменении инфраструктуры.
Выводы и рекомендации
Перечень объектов КИИ — это базовый документ, фиксирующий состав критической информационной инфраструктуры субъекта КИИ. Он служит отправной точкой для категорирования и всей последующей работы по КИИ.
Рекомендуется:
-
формировать перечень до начала категорирования;
-
включать в него все выявленные объекты без предварительного «отсечения»;
-
утверждать перечень руководителем субъекта КИИ;
-
регулярно актуализировать перечень при изменениях инфраструктуры.
Корректно сформированный и актуальный перечень объектов КИИ — ключевое доказательство выполнения требований 187-ФЗ и основа для правомерной работы с критической информационной инфраструктурой.