Нормативная основа оформления решений
Порядок оформления решений комиссии вытекает из требований:
-
Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
-
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ № 127.
Указанные акты требуют документального подтверждения результатов категорирования и возможности их проверки регулятором.
Какие документы оформляет комиссия по категорированию
Решение комиссии оформляется совокупностью документов, а не одним формальным актом. Ключевыми являются:
Протокол заседания комиссии по категорированию
Протокол фиксирует:
-
дату и место заседания комиссии;
-
состав присутствующих членов комиссии;
-
перечень рассмотренных объектов КИИ;
-
основные выводы анализа последствий;
-
применённые критерии и показатели значимости;
-
результаты голосования (при наличии);
-
принятое решение по категории значимости.
Протокол подтверждает коллегиальный характер принятия решения.
Акт категорирования объекта КИИ
Акт категорирования является основным итоговым документом и содержит:
-
наименование и описание объекта КИИ;
-
установленные границы объекта;
-
сведения о применённых критериях значимости;
-
значения показателей критериев;
-
итоговую категорию значимости либо признание объекта незначимым;
-
обоснование принятого решения.
Именно акт категорирования используется при направлении сведений регулятору.
Дополнительные материалы, сопровождающие решение
К решению комиссии также прилагаются:
-
аналитические материалы и расчёты;
-
схемы архитектуры и интеграций;
-
описание сценариев нарушения функционирования;
-
материалы оценки последствий;
-
подтверждающие документы и допущения.
Эти материалы обеспечивают воспроизводимость и проверяемость решения.
Кто подписывает документы комиссии
Как правило:
-
протокол подписывается председателем и членами комиссии;
-
акт категорирования подписывается уполномоченными лицами субъекта КИИ.
Подписи подтверждают, что решение принято от имени субъекта КИИ и в рамках его полномочий.
Связь решения комиссии с распорядительными документами
Решение комиссии должно:
-
опираться на распорядительный документ о создании комиссии;
-
соответствовать её утверждённому составу и полномочиям;
-
быть включено во внутренний контур документации субъекта КИИ.
Несоответствие между распорядительными документами и фактическими решениями рассматривается регулятором как нарушение процедуры.
Требования к логике и непротиворечивости документов
Оформление решения считается корректным, если:
-
протокол, акт и аналитические материалы логически согласованы;
-
показатели значимости соответствуют описанным последствиям;
-
границы объекта единообразно отражены во всех документах;
-
отсутствуют внутренние противоречия.
Формальное наличие документов без внутренней логики не признаётся достаточным.
Хранение и использование оформленного решения
Оформленные решения комиссии:
-
подлежат хранению в установленном порядке;
-
используются при проверках ФСТЭК России;
-
служат основой для внедрения мер безопасности (для значимых объектов);
-
применяются при пересмотре категории значимости.
Отсутствие документов или их утрата приравниваются к отсутствию доказательной базы.
Ключевой вывод
Решение комиссии по категорированию КИИ оформляется:
-
протоколом заседания комиссии;
-
актом категорирования объекта КИИ;
-
комплектом аналитических и подтверждающих материалов.
Корректное оформление решений — обязательное условие соответствия требованиям 187-ФЗ и ПП РФ № 127 и ключевой фактор успешного прохождения регуляторных проверок.
