Как соотносятся понятия «значимый объект КИИ» и «объект КИИ»?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Понятия «объект КИИ» и «значимый объект КИИ» не равнозначны. Объект КИИ — это более широкое понятие. Значимый объект КИИ — это частный случай объекта КИИ, который по результатам категорирования признан значимым и отнесён к одной из категорий значимости. Проще говоря: все значимые объекты — это объекты КИИ, но не все объекты КИИ являются значимыми.

Что говорит законодательство

Федеральный закон № 187-ФЗ вводит оба понятия и чётко их разграничивает:

• объект КИИ — это информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, используемая субъектом КИИ в установленных законом сферах и потенциально способная повлечь негативные последствия при нарушении функционирования;

• значимый объект КИИ — это объект КИИ, которому по результатам категорирования присвоена I, II или III категория значимости.

Согласно Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235:

• категорирование проводится в отношении всех выявленных объектов КИИ;

• категория значимости присваивается только при достижении пороговых значений последствий;

• при недостижении порогов объект КИИ признаётся незначимым.

Таким образом, статус «значимого» является результатом процедуры категорирования, а не исходным свойством объекта.

Как это работает на практике

На практике соотношение выглядит следующим образом:

• сначала субъект КИИ выявляет объекты КИИ и формирует перечень;

• затем каждый объект проходит процедуру категорирования;

• по итогам:

  • часть объектов получает I, II или III категорию и становится значимыми объектами КИИ;

  • часть объектов признаётся незначимыми, но при этом не перестаёт быть объектами КИИ.

Важно:

• объект КИИ не становится значимым автоматически;

• значимость не предполагается «по умолчанию»;

• отсутствие категории — это законный и предусмотренный результат категорирования.

Выводы и рекомендации

Понятие «объект КИИ» является базовым и охватывает все выявленные системы, подпадающие под 187-ФЗ. Понятие «значимый объект КИИ» — производное и применяется только к тем объектам, которые по результатам категорирования достигли порогов значимости.

Рекомендуется:

• чётко разграничивать эти понятия в документации и внутренних решениях;

• не отождествлять объект КИИ со значимым объектом без проведения категорирования;

• рассматривать признание объекта незначимым как полноценный и законный итог процедуры.

Такое понимание полностью соответствует логике 187-ФЗ и методике ФСТЭК и исключает методические ошибки при категорировании и взаимодействии с регуляторами.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге