Нормативная основа проверки
Подтверждение корректности категорирования осуществляется в рамках требований:
-
Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ от 08.02.2018 № 127.
В ходе проверок ФСТЭК России оценивает достоверность, обоснованность и актуальность результатов категорирования.
Полный и согласованный комплект документов
Первое, что проверяет регулятор, — наличие и согласованность документов:
-
распорядительный документ о создании комиссии по категорированию;
-
протоколы заседаний комиссии;
-
акт категорирования объекта КИИ;
-
аналитические материалы и расчёты;
-
сведения, направленные в ФСТЭК.
Все документы должны быть логически согласованы и не содержать противоречий.
Подтверждение корректности определения объекта и его границ
Субъект КИИ должен подтвердить:
-
почему объект определён именно в таких границах;
-
какие функции и процессы он обеспечивает;
-
почему объект не был искусственно раздроблен или укрупнён.
Для этого используются описания процессов, архитектурные схемы, результаты инвентаризации.
Доказуемость исходных данных
Корректность категорирования подтверждается, если:
-
исходные данные актуальны;
-
они отражают фактическое состояние объекта;
-
источники данных понятны и проверяемы.
Регулятор вправе сопоставлять документы категорирования с эксплуатационной и технической документацией.
Обоснованный анализ последствий нарушения функционирования
При проверке необходимо показать:
-
какие сценарии нарушения рассматривались;
-
какие виды последствий анализировались (социальные, экономические, экологические, государственные);
-
почему отдельные последствия отсутствуют (если это указано);
-
как учитывалась длительность последствий.
Анализ должен быть связан с реальными процессами, а не содержать общие формулировки.
Корректное применение критериев и показателей значимости
Подтверждение корректности включает:
-
указание применённых критериев значимости;
-
значения показателей и их расчёты;
-
сопоставление с пороговыми значениями ПП РФ № 127;
-
объяснение, почему именно эти значения выбраны.
Даже по незначимым объектам должна быть показана логика недостижения порогов.
Учёт зависимостей, интеграций и подрядчиков
При проверке необходимо подтвердить, что:
-
внешние интеграции учтены;
-
подрядчики и аутсорсинг проанализированы;
-
влияние зависимостей на длительность и масштаб последствий оценено.
Игнорирование этих факторов часто становится причиной замечаний.
Коллегиальность и компетентность комиссии
Корректность подтверждается, если:
-
комиссия создана распорядительным документом;
-
в её состав входят ИТ, ИБ и владельцы процессов;
-
решения принимались коллегиально и протоколировались.
Регулятор оценивает не формальный состав, а реальное участие профильных специалистов.
Актуальность результатов категорирования
Субъект КИИ должен подтвердить, что:
-
с момента категорирования не произошло изменений, влияющих на значимость;
-
либо такие изменения выявлены и учтены через пересмотр категории.
Устаревшие результаты даже при корректной методике считаются недостоверными.
Практический принцип проверки
На практике корректность категорирования подтверждена, если:
-
любой вывод имеет документальное обоснование;
-
логика решений прослеживается от исходных данных до категории;
-
документы позволяют воспроизвести оценку без «додумывания».
Именно этому принципу следует ФСТЭК при проверках.
Ключевой вывод
Корректность категорирования КИИ при проверке подтверждается:
-
полным и непротиворечивым комплектом документов;
-
достоверными и актуальными исходными данными;
-
обоснованным анализом последствий;
-
строгим применением критериев ПП РФ № 127;
-
коллегиальностью решений комиссии;
-
актуальностью результатов.
Если субъект КИИ способен доказать каждое принятое решение, категорирование считается корректным и устойчивым при регуляторных проверках.
