Что говорит законодательство
Федеральный закон № 187-ФЗ возлагает на субъект КИИ обязанность выявлять принадлежащие ему объекты критической информационной инфраструктуры и обеспечивать корректность сведений о них.
В Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235:
-
не установлена конкретная периодичность пересмотра перечня объектов КИИ;
-
предполагается, что категорирование и связанные с ним документы основываются на актуальных данных об объектах.
Таким образом, законодательство исходит не из календарного принципа, а из принципа актуальности информации.
Как это работает на практике
На практике перечень объектов КИИ пересматривается при наступлении событий, которые могут изменить состав или характеристики объектов, в том числе:
-
ввод в эксплуатацию новых информационных систем, сетей или АСУ;
-
вывод систем из эксплуатации;
-
изменение функционального назначения систем;
-
реорганизация процессов или структуры организации;
-
изменение взаимосвязей между системами, влияющее на последствия их отказа;
-
расширение или сокращение масштаба деятельности.
Во многих организациях перечень пересматривается:
-
при существенных изменениях инфраструктуры — внепланово;
-
дополнительно — в рамках регулярных внутренних проверок, но это уже управленческая практика, а не требование закона.
Выводы и рекомендации
Фиксированная периодичность пересмотра перечня объектов КИИ законодательством не установлена. Перечень должен пересматриваться каждый раз, когда происходят изменения, способные повлиять на состав или характеристики объектов КИИ.
Рекомендуется:
-
обеспечить регулярный контроль актуальности перечня;
-
пересматривать его при любых значимых изменениях инфраструктуры или процессов;
-
документально фиксировать результаты пересмотра.
Такой подход соответствует требованиям 187-ФЗ и методике ФСТЭК и снижает риски выявления устаревших или недостоверных сведений при проверках регулятора.
