Какие документы должен иметь субъект КИИ в рамках 187-ФЗ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект КИИ обязан иметь комплект документов, подтверждающих выполнение требований 187-ФЗ. Эти документы фиксируют не только факт наличия объектов КИИ, но и корректность процедур выявления, категорирования и принятия решений. Отсутствие любого из ключевых документов на практике рассматривается регулятором как невыполнение требований закона.

Что говорит законодательство

Федеральный закон № 187-ФЗ возлагает на субъект КИИ обязанности по выявлению объектов КИИ, их категорированию и обеспечению безопасности значимых объектов. Конкретные требования к процедурам и результатам категорирования установлены Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235.

Из совокупности норм 187-ФЗ и подзаконных актов следует, что у субъекта КИИ должны быть оформлены и доступны следующие документы.

Как это работает на практике

На практике обязательный документальный комплект субъекта КИИ включает:

Документы по выявлению и учёту объектов КИИ

• перечень выявленных объектов КИИ;

• материалы и обоснования включения (или исключения) систем в перечень;

• актуализированная версия перечня при изменениях инфраструктуры.

Документы по категорированию

• приказ (распоряжение) о создании комиссии по категорированию объектов КИИ;

• документы, подтверждающие состав и полномочия комиссии;

• расчёты показателей последствий по методике ФСТЭК;

• материалы оценки значимости по каждому объекту КИИ;

• протоколы заседаний комиссии;

• акт (или иной итоговый документ) категорирования объектов КИИ;

• решения о присвоении категории значимости либо о признании объекта незначимым;

• документы об утверждении результатов категорирования субъектом КИИ.

Документы по актуализации

• материалы пересмотра перечня объектов КИИ;

• обоснования повторного категорирования или сохранения категории;

• решения комиссии по итогам актуализации.

Организационно-распорядительные документы

• локальные акты, определяющие ответственность за выполнение требований 187-ФЗ;

• документы, закрепляющие порядок взаимодействия подразделений при работе с КИИ;

• приказы о назначении ответственных лиц.

Важно: закон не устанавливает единый «шаблон» комплекта документов, но регулятор проверяет наличие всех этапов процедуры в документально подтверждённом виде.

Выводы и рекомендации

Субъект КИИ в рамках 187-ФЗ должен иметь документально оформленные результаты выявления объектов КИИ, их категорирования, работы комиссии и актуализации значимости. Эти документы подтверждают не формальное, а фактическое выполнение требований закона.

Рекомендуется:

• формировать комплект документов как единую логически связанную систему;

• обеспечивать актуальность перечня и результатов категорирования;

• хранить расчёты и протоколы как ключевые доказательства корректности процедуры.

Наличие полного и корректного пакета документов — основное условие успешного прохождения проверок и отсутствия претензий со стороны регуляторов в сфере КИИ.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге