Нормативная основа
Порядок действий при применении показателей значимости следует из:
-
Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ от 08.02.2018 № 127.
В рамках контроля ФСТЭК России оценивает корректность выбора значений показателей и обоснованность отнесения к конкретной категории.
Что означает «граница категорий»
Показатели считаются пограничными, если:
-
рассчитанное значение совпадает с порогом категории;
-
значение находится в пределах допустимой погрешности расчёта;
-
разные сценарии приводят к значениям по соседним категориям;
-
неочевидно, к какой категории отнести объект без дополнительных допущений.
В таких случаях риск ошибки категорирования существенно возрастает.
Базовый принцип: приоритет более высокой категории
Если показатель:
-
достиг порогового значения категории значимости,
-
либо результаты расчётов устойчиво находятся на границе,
объект КИИ должен быть отнесён к соответствующей (более высокой) категории, если иное не обосновано документально.
Этот подход следует из принципа максимального показателя и практики регуляторного контроля.
Проверка корректности расчётов и исходных данных
При граничных значениях комиссия обязана:
-
перепроверить исходные данные;
-
подтвердить источники числовых значений;
-
проверить корректность методики расчёта;
-
исключить арифметические и методологические ошибки.
Если после проверки показатель по-прежнему на границе, это уже не ошибка, а объективный результат оценки.
Анализ сценариев нарушения функционирования
При пограничных значениях необходимо:
-
рассмотреть несколько реалистичных сценариев нарушения;
-
оценить значения показателей по каждому сценарию;
-
определить, являются ли «низкие» значения устойчивыми или зависят от оптимистичных допущений.
Если более высокая категория достигается хотя бы в одном реалистичном сценарии, она подлежит применению.
Недопустимость «экспертного понижения» категории
Законодательство не допускает:
-
снижения категории «по совокупности факторов»;
-
компенсации одного показателя другими;
-
выбора категории «с запасом в меньшую сторону».
Экспертное мнение допустимо только для обоснования исходных данных, но не для произвольного выбора категории.
Документальное обоснование решения на границе
При граничных значениях особенно важно:
-
зафиксировать логику выбора категории в протоколе комиссии;
-
описать использованные сценарии и допущения;
-
указать, почему выбранное значение показателя считается корректным;
-
отразить, почему более низкая категория неприменима (если выбран именно этот вариант).
Отсутствие такого обоснования почти гарантированно приводит к замечаниям регулятора.
Позиция регулятора на практике
При проверках регулятор, как правило:
-
критически относится к «нижней границе»;
-
требует доказательств устойчивости более низкого значения;
-
при сомнениях исходит из необходимости применения более высокой категории.
Именно поэтому пограничные решения без детального обоснования считаются высокорисковыми.
Ключевой вывод
Если показатели значимости КИИ находятся на границе категорий:
-
проводится повторная проверка расчётов и данных;
-
анализируются реалистичные сценарии нарушений;
-
при отсутствии однозначных оснований для снижения применяется более высокая категория;
-
решение подробно и документально обосновывается.
Основной принцип: сомнения трактуются в пользу более высокой категории, поскольку именно она соответствует требованиям 187-ФЗ и логике защиты критической инфраструктуры.
