Как формируется перечень объектов КИИ, подлежащих категорированию?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Перечень объектов КИИ, подлежащих категорированию, формируется самим субъектом КИИ. Он составляется на основе анализа ИТ- и технологических систем организации и включает только те объекты, которые потенциально обеспечивают критически важные процессы. Проще говоря, сначала определяется, какие системы могут быть КИИ, и только после этого они подлежат категорированию.

Что говорит законодательство

Согласно Федеральному закону № 187-ФЗ, субъект КИИ обязан выявлять принадлежащие ему объекты критической информационной инфраструктуры. Закон прямо указывает, что категорирование проводится в отношении выявленных объектов КИИ, а не всей инфраструктуры организации.

Подробный порядок оценки значимости выявленных объектов установлен Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235. Методика применяется после формирования перечня объектов, а не для его создания.

Таким образом, законодательство закрепляет:

• обязанность субъекта КИИ самостоятельно формировать перечень объектов;

• отсутствие утверждённого «типового» или «внешнего» перечня объектов КИИ;

• ответственность субъекта КИИ за полноту и корректность выявления объектов.

Как это работает на практике

На практике формирование перечня объектов КИИ включает несколько логических шагов:

• анализ ИТ-систем, сетей и автоматизированных систем управления, используемых в деятельности организации;

• определение систем, обеспечивающих выполнение критически важных процессов в сферах, указанных в 187-ФЗ;

• оценку возможных последствий нарушения функционирования этих систем на уровне предварительного анализа (без расчётов категории);

• исключение систем, сбой которых не приводит к значимым последствиям.

Важно:

• в перечень включаются потенциальные объекты КИИ, а не только те, которые впоследствии станут значимыми;

• включение объекта в перечень не означает автоматического присвоения категории;

• перечень может содержать объекты, которые по итогам категорирования будут признаны незначимыми.

Сформированный перечень используется как основа для дальнейшего категорирования по методике ФСТЭК.

Выводы и рекомендации

Перечень объектов КИИ, подлежащих категорированию, формируется самим субъектом КИИ путём выявления систем, обеспечивающих критически важные процессы. Этот этап является обязательным и предшествует применению методики ФСТЭК.

Рекомендуется формировать перечень максимально полно, чётко определять границы и назначение объектов и фиксировать результаты документально.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге