Как часто должен актуализироваться перечень объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Перечень объектов КИИ не имеет фиксированной периодичности актуализации (например, раз в год). Он должен актуализироваться каждый раз при изменении условий, влияющих на состав объектов КИИ. Иными словами, актуализация проводится по факту изменений, а не по календарю.

Что говорит законодательство

Федеральный закон № 187-ФЗ обязывает субъекта КИИ обеспечивать достоверность и актуальность сведений об объектах КИИ.

Методика определения значимости объектов КИИ, утверждённая приказом ФСТЭК России № 235, предусматривает пересмотр результатов работ при изменении условий функционирования объектов. Это распространяется и на перечень объектов КИИ как исходный документ для категорирования.

Закон не устанавливает конкретных сроков (ежегодно, раз в три года и т.п.), но требует своевременного отражения изменений.

Как это работает на практике

На практике перечень объектов КИИ подлежит актуализации в следующих случаях:

• ввод в эксплуатацию новых информационных систем или АСУ;

• вывод из эксплуатации или списание систем;

• изменение функционального назначения объекта;

• изменение архитектуры или границ объекта;

• изменение роли объекта в технологических или управленческих процессах;

• реорганизация структуры субъекта КИИ, влияющая на владение или эксплуатацию объектов.

Если изменений не было, перечень может оставаться без корректировок, но субъект КИИ должен быть готов обосновать его актуальность.

Важно:

• отсутствие формальных изменений не освобождает от обязанности контроля актуальности;

• использование устаревшего перечня рассматривается как неполное выявление объектов КИИ;

• регулятор оценивает актуальность перечня на дату проверки.

Выводы и рекомендации

Перечень объектов КИИ актуализируется не по графику, а по событиям — при любых изменениях, влияющих на состав или характеристики объектов. Фиксированной периодичности актуализации законодательство не устанавливает.

Рекомендуется:

• встроить контроль актуальности перечня в процессы управления ИТ и ИБ;

• фиксировать решения об актуализации или об отсутствии оснований для неё;

• оформлять изменения перечня отдельными приказами руководителя;

• хранить предыдущие версии перечня как подтверждение истории изменений.

Своевременная актуализация перечня объектов КИИ — ключевое условие корректного выполнения требований 187-ФЗ и устойчивой позиции субъекта КИИ при регуляторных проверках.