Нормативная основа
Подход к актуальности категорирования следует из:
-
Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ от 08.02.2018 № 127.
В рамках контроля ФСТЭК России оценивает актуальность и достоверность сведений о категорировании на момент проверки.
Установлена ли фиксированная периодичность
Нет.
Законодательство не устанавливает:
-
ежегодный,
-
плановый,
-
либо иной календарный интервал
для анализа актуальности категорирования КИИ.
Ключевое требование — результаты категорирования должны быть актуальны в каждый момент времени, а не на дату их первоначального оформления.
Когда анализ актуальности обязателен
Анализ актуальности должен проводиться каждый раз, когда:
-
планируются изменения объекта КИИ;
-
реализованы изменения, потенциально влияющие на последствия нарушения функционирования;
-
выявлены расхождения между документацией и фактическим состоянием;
-
получены замечания или требования регулятора.
В этих случаях анализ актуальности либо подтверждает прежнюю категорию, либо инициирует пересмотр.
Рекомендуемый практический подход к периодичности
С учётом регуляторной практики целесообразно:
-
проводить регулярный внутренний анализ актуальности (например, не реже одного раза в год);
-
совмещать его с аудитами ИТ, ИБ или управления изменениями;
-
фиксировать результаты анализа документально, даже если изменений не выявлено.
Важно: это рекомендация практики, а не нормативное требование. Указание периодичности во внутренних документах повышает управляемость и доказуемость.
Связь анализа актуальности с управлением изменениями
Наиболее корректный подход — привязка анализа актуальности:
-
к процедурам change management;
-
к вводу новых систем, модулей и интеграций;
-
к изменениям архитектуры и эксплуатации.
Если анализ встроен в управление изменениями, отдельная «периодическая проверка ради проверки» не требуется.
Что проверяется при анализе актуальности
При анализе актуальности оценивается, изменились ли:
-
функции и назначение объекта КИИ;
-
его границы и состав;
-
архитектура и резервирование;
-
интеграции, подрядчики и зависимости;
-
масштаб и длительность последствий нарушения функционирования;
-
значения показателей критериев значимости.
Если ни один из этих факторов не изменился, категория считается актуальной.
Как фиксировать результаты анализа актуальности
Даже при отсутствии изменений рекомендуется:
-
оформить служебную записку или протокол;
-
зафиксировать вывод о сохранении актуальности категории;
-
указать дату анализа и ответственных лиц.
Это позволяет при проверке подтвердить, что актуальность категорирования контролируется системно.
Типовая ошибка субъектов КИИ
Распространённая ошибка — считать, что:
-
если не было крупных ИТ-проектов, анализ не нужен;
-
категорирование «действует бессрочно».
Регулятор оценивает не намерения, а наличие фактов контроля актуальности.
Ключевой вывод
Анализ актуальности категорирования КИИ:
-
проводится не по календарю, а по факту изменений;
-
не имеет фиксированной нормативной периодичности;
-
должен выполняться при любых изменениях, влияющих на последствия;
-
рекомендуется проводить регулярно и фиксировать документально.
Основной принцип: категорирование считается корректным только до тех пор, пока оно отражает текущее состояние объекта КИИ. Именно этот подход соответствует требованиям 187-ФЗ и применяется при проверках ФСТЭК.
