Нормативная основа направления сведений
Обязанность направления сведений в ФСТЭК России установлена:
-
Федеральным законом от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правилами категорирования объектов КИИ, утверждёнными Постановлением Правительства РФ от 08.02.2018 № 127.
ФСТЭК вправе получать только те сведения, которые прямо предусмотрены законодательством или запрошены в рамках контрольных полномочий.
Сведения о результатах категорирования объектов КИИ
Обязательному направлению подлежат:
-
сведения о присвоенной категории значимости объекта КИИ (I, II или III);
-
сведения о признании объекта КИИ незначимым;
-
идентификационные сведения об объекте КИИ;
-
сведения о субъекте КИИ.
Направляются именно сведения, а не полный комплект внутренних документов.
Сведения при первичном категорировании
После завершения категорирования субъект КИИ обязан направить в ФСТЭК:
-
информацию о каждом категорированном объекте КИИ;
-
сведения о присвоенной категории значимости либо о незначимости;
-
данные в объёме и формате, установленном регулятором.
Это базовая обязанность, с которой начинается регуляторный контур по КИИ.
Сведения при изменении категории значимости
В ФСТЭК подлежат направлению сведения, если:
-
категория значимости объекта изменена;
-
объект ранее был незначимым и признан значимым;
-
значимый объект признан незначимым по результатам пересмотра.
Направляются обновлённые сведения, отражающие актуальный статус объекта.
Сведения при повторном или внеплановом категорировании
Если проведено:
-
повторное категорирование;
-
внеплановый пересмотр категории;
-
актуализация, повлёкшая изменение статуса объекта,
в ФСТЭК направляются сведения о новых результатах категорирования.
Сведения о значимых объектах КИИ
По значимым объектам КИИ ФСТЭК вправе получать:
-
расширенный объём сведений;
-
уточняющую информацию;
-
подтверждающие материалы — по запросу.
Однако даже в этом случае субъект КИИ передаёт запрошенные сведения, а не весь массив внутренней документации.
Сведения по запросу регулятора
Отдельной категорией являются сведения, предоставляемые:
-
по официальному запросу ФСТЭК;
-
в рамках контрольных и надзорных мероприятий;
-
при проверке корректности категорирования.
В таких случаях ФСТЭК может запросить:
-
материалы анализа последствий;
-
расчёты показателей;
-
протоколы комиссии;
-
перечень объектов КИИ.
Это не автоматическая обязанность, а исполнение законного требования регулятора.
Что не подлежит обязательному направлению
По умолчанию не направляются:
-
перечень объектов КИИ (без запроса);
-
внутренние методики и рабочие материалы;
-
детальные архитектурные схемы;
-
протоколы комиссии и акты категорирования целиком.
Исключение — случаи, когда эти документы официально запрошены регулятором.
Типовые ошибки при взаимодействии с ФСТЭК
На практике часто допускаются:
-
направление избыточных сведений без запроса;
-
несвоевременное направление сведений о категорировании;
-
расхождения между направленными сведениями и внутренними документами;
-
отсутствие подтверждения актуальности направленных данных.
Все эти ошибки повышают регуляторные риски.
Ключевой вывод
В ФСТЭК России подлежат направлению:
-
сведения о результатах категорирования объектов КИИ;
-
сведения об изменении категории значимости;
-
сведения о признании объектов значимыми или незначимыми;
-
иные сведения — исключительно по официальному запросу регулятора.
Основной принцип взаимодействия:
направляется только то, что прямо предусмотрено законом или запрошено ФСТЭК.
Корректность, полнота и актуальность этих сведений имеют для регулятора большее значение, чем объём передаваемых документов.
