Что говорит законодательство
Единственным нормативным документом ФСТЭК России, который непосредственно используется для определения категории значимости объекта КИИ, является:
Приказ ФСТЭК России от 21.12.2017 № 235
«Об утверждении Методики определения значимости объектов критической информационной инфраструктуры Российской Федерации»
Данный приказ:
-
устанавливает показатели значимости объектов КИИ;
-
определяет пороговые значения для I, II и III категорий значимости;
-
регламентирует порядок оценки последствий нарушения функционирования объекта;
-
используется комиссией субъекта КИИ для принятия решения о категории значимости либо о признании объекта незначимым.
Другие приказы ФСТЭК, в частности:
Приказ ФСТЭК России от 25.12.2017 № 239
«Об утверждении требований по обеспечению безопасности значимых объектов КИИ»
не регулируют определение категории значимости и не применяются при расчётах, а используются только после завершения категорирования, в зависимости от присвоенной категории.
Как это работает на практике
На практике при определении категории значимости комиссия субъекта КИИ руководствуется исключительно методикой, утверждённой приказом ФСТЭК № 235.
Именно по этому документу:
-
анализируются возможные социальные, экономические, экологические и иные последствия;
-
сопоставляются показатели с установленными пороговыми значениями;
-
принимается решение о присвоении I, II или III категории либо о признании объекта незначимым.
Приказы ФСТЭК, устанавливающие требования по безопасности, начинают применяться только после того, как категория значимости уже определена и зафиксирована документально. Использование этих приказов на этапе расчёта категории является методически некорректным.
Выводы и рекомендации
При определении категории значимости объекта КИИ применяется исключительно приказ ФСТЭК России № 235, утверждающий методику оценки значимости. Иные приказы ФСТЭК не участвуют в расчёте категории и используются только для последующей реализации требований по безопасности.
Рекомендуется чётко разделять этапы категорирования и обеспечения безопасности: применять приказ № 235 для определения категории и переходить к приказу № 239 только после официального завершения процедуры категорирования. Это позволяет избежать методических ошибок и претензий со стороны регуляторов.
