Нормативная основа методики ФСТЭК
Методика категорирования объектов КИИ определяется:
-
Федеральным законом от 26.07.2017 № 187-ФЗ;
-
Правилами категорирования объектов КИИ, утверждёнными Постановлением Правительства РФ от 08.02.2018 № 127.
В контрольной практике ФСТЭК России оценивает не формальные ссылки на документы, а фактическое применение критериев и показателей, предусмотренных ПП РФ № 127.
Корректное определение объекта КИИ
Первый элемент подтверждения соответствия методике — доказуемое определение объекта:
-
объект является функционально завершённым;
-
его границы обоснованы через архитектуру, управление и ответственность;
-
отсутствует искусственное дробление или укрупнение;
-
описание объекта едино во всех документах.
Методика ФСТЭК предполагает, что именно объект, а не абстрактная ИТ-среда, подлежит оценке.
Использование достоверных и актуальных исходных данных
Соответствие методике подтверждается, если:
-
исходные данные отражают фактическое состояние объекта;
-
архитектура, интеграции и зависимости описаны полно;
-
данные подтверждены эксплуатационной и технической документацией;
-
источники информации понятны и проверяемы.
Применение критериев на недостоверных данных считается нарушением методики.
Полноценный анализ последствий нарушения функционирования
Методика ФСТЭК требует анализа последствий:
-
по реалистичным сценариям нарушения функционирования;
-
по всем применимым видам последствий;
-
с оценкой масштаба и длительности последствий;
-
с привязкой к обеспечиваемым процессам.
Подтверждением соответствия является наличие логически связанного анализа, а не декларативных формулировок.
Строгое применение критериев и показателей значимости
Ключевой признак соблюдения методики:
-
применены только критерии, установленные ПП РФ № 127;
-
значения показателей рассчитаны, а не назначены;
-
расчёты воспроизводимы и документально подтверждены;
-
соблюдён принцип максимального показателя;
-
отсутствует «экспертное понижение» категории.
Если достигнут порог хотя бы по одному показателю, это отражено в категории.
Коллегиальность и компетентность комиссии
Методика предполагает, что:
-
решения принимаются комиссией;
-
в работе участвуют ИТ, ИБ и владельцы процессов;
-
обсуждение и выводы зафиксированы в протоколах.
Подтверждение соответствия — это не список должностей, а реальное участие профильных специалистов.
Логическая согласованность документов
Соответствие методике подтверждается, если:
-
протоколы комиссии, акт категорирования и аналитика не противоречат друг другу;
-
выводы комиссии следуют из анализа;
-
сведения, направленные регулятору, совпадают с внутренними документами.
Методика ФСТЭК требует воспроизводимости, а не формального набора документов.
Подтверждённая актуальность категорирования
Даже корректно выполненное категорирование не соответствует методике, если:
-
не анализируется актуальность результатов;
-
изменения объекта игнорируются;
-
актуализация не оформляется документально.
Поддержание актуальности — обязательный элемент методического подхода.
Практический критерий соответствия методике
Простой тест соответствия:
-
можно ли по документам объяснить, почему объект имеет именно эту категорию;
-
можно ли воспроизвести расчёты показателей;
-
можно ли доказать неприменимость более низкой категории.
Если ответы положительные, категорирование соответствует методике ФСТЭК.
Ключевой вывод
Соответствие категорирования КИИ методике ФСТЭК подтверждается, если:
-
объект и его границы определены обоснованно;
-
использованы достоверные и актуальные данные;
-
анализ последствий выполнен полно и по сценариям;
-
критерии значимости применены строго по ПП РФ № 127;
-
решения комиссии доказуемы и документально зафиксированы;
-
актуальность категорирования контролируется.
Методика ФСТЭК — это не формальный чек-лист, а логика принятия решений. Если эта логика прозрачна и воспроизводима, соответствие считается подтверждённым.
