Какие сведения включаются в перечень объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Перечень объектов КИИ должен содержать минимально достаточные сведения, позволяющие однозначно идентифицировать каждый объект и понять, почему он отнесён к объектам критической информационной инфраструктуры. Это не техническое описание системы, а управленческий документ, фиксирующий состав КИИ субъекта.

Что говорит законодательство

Федеральный закон № 187-ФЗ возлагает на субъект КИИ обязанность выявлять принадлежащие ему объекты КИИ.

Методика определения значимости объектов КИИ, утверждённая приказом ФСТЭК России № 235, прямо указывает, что категорирование проводится в отношении выявленных объектов КИИ, что возможно только при наличии перечня, содержащего сведения, достаточные для их идентификации и дальнейшей оценки.

При этом законодательство не устанавливает унифицированной формы перечня, но регуляторная практика сформировала обязательный состав сведений.

Как это работает на практике

На практике в перечень объектов КИИ включаются следующие обязательные сведения.

Идентификационные сведения

наименование объекта КИИ;
тип объекта (информационная система, автоматизированная система управления и т.п.);
уникальный идентификатор или внутренний код (при наличии).

Функциональные сведения

назначение объекта;
основные функции, обеспечиваемые объектом;
связь объекта с производственными, технологическими или управленческими процессами.

Сведения о принадлежности

подразделение или владелец объекта внутри организации;
правовое основание владения или эксплуатации (собственность, аренда, иное законное основание).

Сведения для последующих работ

статус объекта (подлежит категорированию, категорирован, признан незначимым);
дата включения объекта в перечень;
при наличии — дата последней актуализации сведений.

Важно:

перечень не обязан содержать категорию значимости — она определяется позднее;
отсутствие функционального описания делает перечень формальным;
чрезмерная детализация (архитектура, ИБ-меры) не требуется и не заменяет категорирование.

Выводы и рекомендации

В перечень объектов КИИ включаются сведения, позволяющие однозначно идентифицировать объект, определить его назначение и обосновать отнесение к КИИ. Закон не требует унифицированной формы, но требует полноты и проверяемости данных.

Рекомендуется:

включать в перечень только необходимые и проверяемые сведения;
обеспечивать единообразие описания объектов;
утверждать перечень руководителем субъекта КИИ;
актуализировать сведения при любых изменениях инфраструктуры.

Корректно заполненный перечень объектов КИИ — основа законного категорирования и ключевой документ, по которому регулятор оценивает полноту выявления критической инфраструктуры субъекта.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.