Проще говоря, если у вашей организации есть системы, которые признаны объектами КИИ, вы сами несёте ответственность за их категорирование. Нельзя перекладывать эту обязанность на государство или на подрядчика — процедура проводится организацией, владеющей или эксплуатирующей объект КИИ.
Что говорит законодательство
Статья 7 Федерального закона № 187-ФЗ устанавливает, что субъекты КИИ обязаны:
-
выявлять объекты КИИ;
-
проводить их категорирование;
-
обеспечивать выполнение требований по защите объектов КИИ в зависимости от категории.
Согласно методическим документам ФСТЭК России, субъект КИИ несёт ответственность за организацию и документальное оформление процедуры категорирования. Закон не предусматривает делегирование этой обязанности третьим лицам без участия субъекта.
Как это работает на практике
На практике это означает, что:
-
собственник или оператор объекта КИИ формирует рабочую группу или привлекает экспертов, которые проводят анализ;
-
определяется влияние сбоя объекта на процессы организации и отрасли;
-
фиксируются результаты категорирования и присвоение категории значимости.
Даже если привлекаются сторонние консультанты для оценки, ответственность за результат остаётся у субъекта КИИ.
Пример: банк как субъект КИИ обязан провести категорирование своих процессинговых систем. Он может привлечь специалистов ICTECH для анализа, но формальное присвоение категории и документальное оформление остаются обязанностью банка.
Выводы и рекомендации
Категорирование объектов КИИ — это обязанность каждого субъекта КИИ, закреплённая законодательством.
Рекомендуется:
-
заранее определить ответственных сотрудников или структурные подразделения;
-
документировать процесс категорирования;
-
при необходимости привлекать квалифицированных экспертов для корректного присвоения категории значимости.
Только системный и документально оформленный подход позволит выполнить требования 187-ФЗ и снизить риски нарушений.
