Что говорит законодательство
Федеральный закон № 187-ФЗ требует документального подтверждения выполнения обязательных процедур в сфере КИИ.
Методика определения значимости объектов КИИ, утверждённая приказом ФСТЭК России № 235, не устанавливает форм документов, но требует, чтобы результаты категорирования:
-
были оформлены документально;
-
позволяли проверить корректность процедуры;
-
содержали итоговое решение и его утверждение.
Следовательно, любые документы, которые не позволяют подтвердить эти требования, создают регуляторные риски.
Как это работает на практике
Использование неутверждённых или формальных форм документов по КИИ связано со следующими ключевыми рисками.
Риск непризнания результатов. Документы могут быть признаны:
-
рабочими материалами, а не официальными документами;
-
не имеющими юридической силы;
-
неподтверждающими выполнение требований 187-ФЗ.
Риск предписаний и повторных работ. Регулятор может:
-
выдать предписание о повторном категорировании;
-
потребовать переоформления документов;
-
квалифицировать нарушение как системное.
Риск усиленного контроля. При выявлении формальных документов:
-
возрастает глубина и частота проверок;
-
повышается объём запрашиваемых материалов;
-
снижается уровень доверия регулятора к субъекту КИИ.
Риск ошибок при инцидентах. В случае инцидента:
-
документы используются для оценки корректности выполненных требований;
-
формальные или неполные документы рассматриваются как отягчающее обстоятельство;
-
возрастает риск административной ответственности.
Риск внутренней неуправляемости
-
утрачивается единый подход к документированию;
-
решения становятся несогласованными;
-
усложняется актуализация и контроль.
Важно:
-
риск возникает не из-за «произвольной формы», а из-за отсутствия утверждения и обязательных сведений;
-
документ без утверждения руководителем почти всегда признаётся неполноценным;
-
ссылка на «отсутствие утверждённых форм» не защищает от претензий.
Выводы и рекомендации
Риски использования неутверждённых форм документов по КИИ связаны с возможным непризнанием результатов работ, предписаниями регулятора, усиленным контролем и негативными последствиями при инцидентах.
Рекомендуется:
-
утверждать собственные формы документов внутренними актами;
-
проверять формы на соответствие требованиям 187-ФЗ и методики ФСТЭК;
-
обеспечивать утверждение всех итоговых документов руководителем;
-
использовать единый и контролируемый комплект шаблонов.
Произвольная форма допустима, но неутверждённая и формальная документация — это прямой регуляторный риск, который легко предотвратить правильной организацией работы с КИИ.
