Как применяется методика ФСТЭК при категорировании объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Методика ФСТЭК применяется как основной инструмент для оценки значимости объекта КИИ. С её помощью субъект КИИ определяет, к каким последствиям может привести нарушение работы конкретной системы и подпадает ли она под одну из категорий значимости. Проще говоря, именно методика позволяет перевести возможный ущерб от сбоя объекта в формальное и юридически значимое решение.

Что говорит законодательство

Методика определения значимости объектов критической информационной инфраструктуры утверждена приказом ФСТЭК России от 21.12.2017 № 235.

Согласно методике:

• категорирование проводится в отношении каждого выявленного объекта КИИ;

• оценка значимости осуществляется на основании показателей значимости, установленных методикой;

• учитываются последствия нарушения функционирования объекта КИИ по следующим направлениям:

  • социальные последствия;

  • экономические последствия;

  • экологические последствия;

  • последствия для обороны страны и безопасности государства;

• для каждого показателя установлены пороговые значения, при достижении которых объекту присваивается I, II или III категория значимости.

Результаты применения методики оформляются документально и используются для принятия комиссией решения о категории объекта либо о признании его незначимым.

Как это работает на практике

На практике методика ФСТЭК применяется последовательно и формализованно.

Сначала субъект КИИ выявляет объект и определяет границы его функционирования. Затем комиссия анализирует, какие негативные последствия может повлечь нарушение работы этого объекта. Для этого используются показатели значимости, установленные методикой ФСТЭК, и сопоставляются с пороговыми значениями.

Важно понимать:

• методика оценивает не текущие инциденты, а возможные последствия гипотетического нарушения функционирования;

• расчёты выполняются по каждому объекту отдельно;

• если ни один показатель не достигает установленных порогов, объект признаётся незначимым;

• если хотя бы один показатель достигает порогового значения, объекту присваивается соответствующая категория значимости.

Методика не допускает произвольной трактовки: все выводы должны быть обоснованы расчётами и подтверждены исходными данными.

Выводы и рекомендации

Методика ФСТЭК является ключевым практическим инструментом категорирования объектов КИИ. Именно она определяет, как оцениваются последствия нарушения функционирования объекта и на каком основании присваивается категория значимости либо принимается решение о её отсутствии.

Рекомендуется применять методику строго в соответствии с приказом ФСТЭК № 235, фиксировать все расчёты и обоснования документально и избегать формального подхода. Ошибки в применении методики напрямую влияют на корректность категорирования и могут быть выявлены при проверках регулятора.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге