Что говорит законодательство
Федеральный закон № 187-ФЗ предусматривает, что в составе объектов КИИ выделяются значимые объекты критической информационной инфраструктуры. Это означает, что не каждый объект КИИ автоматически признаётся значимым.
Согласно Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235:
-
категория значимости присваивается только в случае, если показатели последствий нарушения функционирования объекта достигают установленных пороговых значений;
-
если ни один показатель значимости не достигает порогового значения, объект КИИ признаётся незначимым;
-
признание объекта незначимым является официальным результатом процедуры категорирования и подлежит документальному оформлению.
Методика не предусматривает обязательного присвоения категории каждому объекту КИИ.
Как это работает на практике
На практике комиссия субъекта КИИ проводит оценку значимости каждого выявленного объекта по всем направлениям последствий, установленным методикой ФСТЭК.
Возможны два варианта результата:
-
объект признаётся значимым и ему присваивается I, II или III категория;
-
объект признаётся незначимым, если последствия его возможного сбоя не достигают пороговых значений.
Важно понимать:
-
незначимый объект КИИ не исключается из перечня объектов КИИ;
-
по такому объекту всё равно должны быть проведены расчёты и оформлены документы категорирования;
-
решение о незначимости может быть проверено регулятором и должно быть обосновано.
Выводы и рекомендации
Объект КИИ может быть признан незначимым по результатам категорирования, если анализ последствий нарушения его функционирования показывает отсутствие пороговых значений значимости. Это полностью соответствует требованиям 187-ФЗ и методике ФСТЭК.
Рекомендуется рассматривать признание объекта незначимым как полноценный и юридически значимый результат категорирования, а не как формальное решение. Все расчёты и выводы должны быть корректно оформлены и подтверждены, чтобы исключить претензии со стороны регуляторов.
