Нормативная логика оценки ошибок
Оценка критичности ошибок вытекает из:
-
Федерального закона от 26.07.2017 № 187-ФЗ;
-
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ № 127.
В контрольной практике ФСТЭК России оценивает, искажена ли связь между объектом, последствиями и категорией значимости.
Неверное определение объекта КИИ
Критической ошибкой считается:
-
неправильное определение объекта как системы «в целом» без функциональной завершённости;
-
искусственное дробление объекта для занижения категории;
-
необоснованное укрупнение нескольких объектов в один;
-
разные границы объекта в разных документах.
Если объект определён неверно, вся последующая оценка последствий считается некорректной.
Ошибки в анализе последствий нарушения функционирования
К критическим относятся:
-
формальный анализ без сценариев;
-
отсутствие анализа отдельных применимых видов последствий;
-
занижение масштаба или длительности последствий;
-
отсутствие связи последствий с обеспечиваемыми процессами.
Категория значимости определяется исключительно через последствия, поэтому ошибки в этом анализе являются принципиальными.
Некорректное применение критериев и показателей значимости
Критическими признаются ошибки, при которых:
-
неправильно выбран критерий значимости;
-
значения показателей не рассчитаны, а назначены;
-
показатели занижены без обоснования;
-
нарушен принцип максимального показателя;
-
допущена «компенсация» одного показателя другими.
Такие ошибки напрямую приводят к неверной категории.
Использование недостоверных или устаревших исходных данных
Критической является ситуация, когда:
-
фактическое состояние объекта не соответствует описанию;
-
не учтены интеграции, подрядчики и зависимости;
-
используются устаревшие архитектурные или эксплуатационные данные.
Недостоверные исходные данные делают невозможным подтверждение корректности категорирования.
Признание объекта незначимым при достижении порога
Отдельная критическая ошибка — признание объекта КИИ незначимым, если:
-
хотя бы один показатель критериев значимости достиг порогового значения;
-
последствия соответствуют хотя бы одной категории значимости.
Это прямое нарушение методики категорирования и один из наиболее частых поводов для требований о пересмотре.
Отсутствие участия профильных специалистов
Критической считается ошибка, при которой:
-
анализ проведён без участия ИТ, ИБ или владельцев процессов;
-
выводы основаны на предположениях;
-
комиссия не обладала необходимой экспертизой.
В таких случаях регулятор квалифицирует категорирование как формальное.
Противоречия и отсутствие обязательных документов
К критическим ошибкам относятся:
-
отсутствие протоколов комиссии;
-
отсутствие акта категорирования;
-
противоречия между документами;
-
невозможность восстановить логику принятия решений.
Даже корректные расчёты теряют силу без надлежащего оформления.
Утрата актуальности категорирования
Критической ошибкой считается:
-
игнорирование изменений объекта КИИ;
-
отсутствие анализа актуальности;
-
использование устаревших результатов категорирования.
Актуальность — обязательное свойство корректного категорирования.
Почему именно эти ошибки считаются критическими
Все перечисленные ошибки:
-
искажают основания выбора категории;
-
не позволяют доказать корректность решений;
-
делают невозможным воспроизведение логики категорирования;
-
напрямую нарушают требования 187-ФЗ и ПП РФ № 127.
Поэтому регулятор рассматривает их не как «неточности», а как нарушения.
Ключевой вывод
Критическими считаются ошибки категорирования КИИ, которые:
-
искажают определение объекта и его границ;
-
нарушают анализ последствий;
-
приводят к неправильному применению критериев значимости;
-
основаны на недостоверных данных;
-
лишают результат доказуемости и актуальности.
Главный признак критической ошибки — невозможность доказать, почему объект имеет именно эту категорию значимости. Если доказуемость утрачена, категорирование считается недостоверным независимо от формального оформления.
