Как проводится оценка значимости объекта КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Оценка значимости объекта КИИ проводится путём анализа возможных последствий нарушения его функционирования. При этом оценивается не уровень защищённости системы и не вероятность инцидента, а тяжесть последствий, которые могут возникнуть при сбое. Итогом оценки становится решение о присвоении объекту категории значимости либо о признании его незначимым.

Что говорит законодательство

Оценка значимости объекта КИИ осуществляется в рамках процедуры категорирования, установленной Федеральным законом № 187-ФЗ, с применением Методики определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235.

Согласно методике:

• оценка проводится в отношении каждого выявленного объекта КИИ;

• анализируются последствия нарушения функционирования объекта, а не причины или способы такого нарушения;

• используются показатели значимости по четырём направлениям:

  • социальные последствия;

  • экономические последствия;

  • экологические последствия;

  • последствия для обороны страны и безопасности государства;

• значения показателей сопоставляются с пороговыми значениями, установленными для I, II и III категорий значимости.

Как это работает на практике

На практике оценка значимости объекта КИИ проводится последовательно:

1. Комиссия субъекта КИИ рассматривает сценарий нарушения функционирования конкретного объекта.

2. Определяются возможные последствия такого нарушения по всем направлениям, предусмотренным методикой ФСТЭК.

3. Для каждого вида последствий выбираются соответствующие показатели значимости.

4. Полученные значения сопоставляются с пороговыми значениями методики.

5. На основании наибольшего достигнутого порога принимается решение:

   • о присвоении I, II или III категории значимости;

   • либо о признании объекта незначимым.

Важно учитывать:

• оценка проводится по каждому объекту отдельно;

• достаточно достижения порогового значения по одному показателю, чтобы присвоить соответствующую категорию;

• все расчёты и выводы подлежат обязательному документальному оформлению.

Выводы и рекомендации

Оценка значимости объекта КИИ проводится путём анализа возможных последствий нарушения его функционирования с применением методики ФСТЭК. Именно результаты этой оценки определяют, является ли объект значимым и какую категорию он получает.

Рекомендуется строго следовать методике ФСТЭК, учитывать все предусмотренные виды последствий и документировать расчёты и обоснования. Корректная оценка значимости является ключевым элементом законного и устойчивого категорирования объекта КИИ.