Если информационный ресурс влияет на жизненно важные функции организации или отрасли из перечня 187-ФЗ — он может быть признан объектом КИИ и подлежит категорированию.
Проще говоря:
Информационный ресурс относится к КИИ, если его сбой способен причинить значимый ущерб — людям, экономике, безопасности или устойчивости отрасли.
Что говорит законодательство
Федеральный закон № 187-ФЗ
Определяет объекты КИИ как:
- информационные системы,
- автоматизированные системы управления (АСУ ТП),
- сети связи,
используемые в критически важных сферах (энергетика, транспорт, связь, финансы, медицина, наука, промышленность, госорганы и др.).
Тем самым информационный ресурс может быть объектом КИИ, если он является частью ИС, АСУ ТП или сети связи, работающих в этих сферах.
Постановление Правительства РФ № 127
Устанавливает механизм определения принадлежности:
- Сначала организация должна выявить свои информационные ресурсы, связанные с критическими процессами.
- Затем провести категорирование, используя критерии угроз и возможных последствий.
- Результат категорирования определяет, является ли данный ресурс значимым объектом КИИ или не является объектом значимости.
Показатели последствий включают:
- ущерб населению;
- ущерб экономике;
- нарушение технологического процесса;
- нарушение устойчивости функционирования инфраструктуры;
- угрозы безопасности государства.
Если последствия значимы — объект относится к КИИ.
Как это работает на практике
Шаг 1. Определить сферу деятельности
Если ресурс используется в одной из отраслей 187-ФЗ (ТЭК, транспорт, связь, финансы и др.), он автоматически попадает в «зону внимания КИИ».
Шаг 2. Оценить функции ресурса
Информационный ресурс может быть объектом КИИ, если он:
- обеспечивает технологический процесс;
- обеспечивает управление оборудованием;
- хранит критические данные;
- влияет на предоставление важнейших услуг населению;
- участвует в обеспечении безопасности или устойчивости организации.
Шаг 3. Проанализировать последствия нарушения работы
Ключевой вопрос:
Что произойдёт, если ресурс выйдет из строя?
Если последствия включают:
- остановку производства,
- угрозу аварии,
- прекращение жизненно важных услуг,
- сбой в платёжных или транспортных системах,
- угрозу здоровью людей,
ресурс однозначно относится к объектам КИИ.
Шаг 4. Формально включить ресурс в перечень объектов КИИ организации
Если анализ показал критичность, организация включает ресурс в:
- перечень объектов КИИ;
- план категорирования.
Шаг 5. Провести категорирование
Только категорирование определяет итоговый статус:
- Значимый объект КИИ (1, 2 или 3 категория);
- Не значимый объект, но всё равно объект КИИ;
- Не относится к КИИ (если не выполняет критически важные функции).
Выводы и рекомендации
Принадлежность информационного ресурса к объектам КИИ оценивается по совокупности трёх признаков: относится ли деятельность к критическим сферам, указанным в 187-ФЗ, задействован ли ресурс в обеспечении жизненно важных, управленческих или технологических процессов, и могут ли последствия нарушения его работы достигать показателей значимости, установленных ПП № 127.
Вывод: ресурс признаётся объектом КИИ, если он функционирует в критической отрасли и его отказ потенциально приводит к значимому ущербу, а результаты категорирования подтверждают соответствующий уровень значимости.
