Что говорит законодательство
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:
-
закрепляет обязанность субъектов КИИ выявлять объекты КИИ и проводить их категорирование;
-
вводит понятие значимого объекта критической информационной инфраструктуры;
-
устанавливает, что категорирование проводится самим субъектом КИИ;
-
определяет, что результаты категорирования используются для применения требований по обеспечению безопасности и государственного контроля;
-
наделяет ФСТЭК России полномочиями по утверждению методики определения значимости объектов КИИ.
При этом закон не содержит конкретных расчётных показателей или пороговых значений — эти элементы реализуются в подзаконных нормативных актах ФСТЭК.
Как это работает на практике
На практике 187-ФЗ выполняет роль «рамочного» закона. Он определяет обязательность категорирования и юридические последствия его результатов, но не описывает технические детали оценки.
Субъект КИИ действует следующим образом:
-
опирается на 187-ФЗ, чтобы определить обязанность проведения категорирования и круг объектов;
-
применяет методику ФСТЭК (приказ № 235) для расчёта показателей значимости;
-
использует результаты категорирования для выполнения требований по безопасности значимых объектов КИИ.
Таким образом, 187-ФЗ не заменяет методику ФСТЭК, а задаёт правовую логику и обязательность всей процедуры.
Выводы и рекомендации
Федеральный закон № 187-ФЗ играет ключевую и определяющую роль в процедуре категорирования КИИ: он устанавливает саму обязанность категорирования, вводит основные понятия и определяет юридические последствия присвоения категории значимости.
Рекомендуется рассматривать 187-ФЗ как основу всей работы с КИИ и использовать его в связке с методическими и нормативными документами ФСТЭК, поскольку только их совместное применение обеспечивает соответствие требованиям законодательства.
