Что говорит законодательство
Федеральный закон № 187-ФЗ устанавливает, что категорирование проводится субъектом КИИ самостоятельно.
В Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, указано, что категорирование осуществляется комиссией субъекта КИИ, при этом:
-
конкретный состав комиссии нормативно не фиксирован;
-
ответственность за формирование комиссии несёт субъект КИИ;
-
комиссия должна обеспечивать возможность корректной оценки последствий нарушения функционирования объектов КИИ.
Методика не содержит требований о включении в комиссию представителей ФСТЭК или иных государственных органов.
Как это работает на практике
На практике в состав комиссии по категорированию объектов КИИ обычно включаются:
-
представители руководства или уполномоченные лица субъекта КИИ;
-
специалисты, отвечающие за эксплуатацию и функционирование информационных систем и АСУ;
-
сотрудники ИТ-подразделений;
-
специалисты по информационной безопасности;
-
при необходимости — представители профильных подразделений (производство, энергетика, транспорт, медицина и др.), чьи процессы обеспечиваются объектами КИИ.
Важно:
-
члены комиссии должны обладать знаниями о назначении объектов и последствиях их возможного сбоя;
-
участие внешних подрядчиков возможно только в консультативной роли, если иное не предусмотрено внутренними документами субъекта КИИ;
-
решения принимает именно комиссия субъекта КИИ, а не отдельные специалисты.
Выводы и рекомендации
Состав комиссии по категорированию объектов КИИ формируется субъектом КИИ самостоятельно. В комиссию должны входить компетентные сотрудники, способные оценить последствия нарушения функционирования объектов с технической, организационной и управленческой точки зрения.
Рекомендуется включать в состав комиссии представителей ИТ, ИБ, профильных подразделений и руководства, а также официально закреплять состав и полномочия комиссии распорядительным документом. Это обеспечивает корректность категорирования и снижает риски претензий со стороны регуляторов.
