Какие объекты включаются в перечень для категорирования КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

В перечень для категорирования включаются конкретные информационные и технологические системы, которые потенциально относятся к объектам КИИ и обеспечивают выполнение критически важных процессов. Это не вся ИТ-инфраструктура организации, а только те системы, сбой которых может привести к значимым последствиям. Проще говоря, в перечень включают всё, что может оказаться объектом КИИ, даже если позже будет признано незначимым.

Что говорит законодательство

Согласно Федеральному закону № 187-ФЗ, объектами КИИ являются:

• информационные системы;

• информационно-телекоммуникационные сети;

• автоматизированные системы управления,

которые используются субъектами КИИ в сферах, указанных в законе, и нарушение функционирования которых может повлечь негативные последствия.

В Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, установлено, что категорирование проводится в отношении выявленных объектов КИИ. Это означает, что в перечень для категорирования включаются все выявленные потенциальные объекты КИИ, независимо от того, будут ли они впоследствии признаны значимыми.

Как это работает на практике

На практике в перечень для категорирования включаются:

• информационные системы, обеспечивающие ключевые управленческие, производственные, финансовые, медицинские, транспортные и иные критически важные функции;

• АСУ ТП и иные автоматизированные системы управления, используемые для управления технологическими процессами;

• информационно-телекоммуникационные сети, если их отказ приводит к нарушению работы критических систем;

• системы, от которых зависят жизненно важные услуги или устойчивость деятельности организации.

При этом в перечень не включаются:

• вспомогательные ИТ-системы, сбой которых не влияет на критические процессы;

• офисные и бытовые сервисы (почта, документооборот, сайты-визитки), если их отказ не приводит к значимым последствиям;

• системы, не используемые в сферах, указанных в 187-ФЗ, и не влияющие на устойчивость процессов.

Важно:

• включение объекта в перечень не означает автоматического присвоения категории;

• перечень может содержать объекты, которые по итогам категорирования будут признаны незначимыми;

• ответственность за полноту перечня несёт субъект КИИ.

Выводы и рекомендации

В перечень для категорирования КИИ включаются все выявленные информационные системы, сети и АСУ, потенциально относящиеся к объектам КИИ и обеспечивающие критически важные процессы. Этот перечень формируется до начала категорирования и служит основой для применения методики ФСТЭК.

Рекомендуется формировать перечень максимально полно, корректно определять границы и назначение объектов и документально фиксировать результаты выявления.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге