Что говорит законодательство
В соответствии с Федеральным законом № 187-ФЗ и Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, категория значимости объекта КИИ определяется:
-
после анализа последствий нарушения функционирования объекта;
-
по результатам сопоставления показателей значимости с пороговыми значениями, установленными методикой;
-
в рамках процедуры категорирования, проводимой комиссией субъекта КИИ.
Закон и методика не допускают предварительного или условного присвоения категории без проведения оценки значимости.
Как это работает на практике
На практике процедура выглядит следующим образом:
-
Сначала выявляется объект КИИ и уточняются его границы и функции.
-
Затем проводится анализ возможных последствий нарушения функционирования объекта.
-
После этого выполняется оценка значимости с использованием показателей и пороговых значений методики ФСТЭК.
-
Именно на этом этапе комиссия принимает решение о категории значимости либо о признании объекта незначимым.
-
Принятое решение оформляется документально.
Важно:
-
категория определяется не в начале и не в середине анализа, а только по его итогам;
-
категория присваивается конкретному объекту, а не организации в целом;
-
все расчёты и выводы должны быть подтверждены документально.
Выводы и рекомендации
Категория значимости объекта КИИ определяется на этапе оценки значимости, после завершения анализа последствий нарушения его функционирования и сопоставления показателей с пороговыми значениями методики ФСТЭК.
Рекомендуется не допускать преждевременного определения категории и строго соблюдать установленную последовательность процедуры. Это обеспечивает корректность категорирования и снижает риски замечаний со стороны регуляторов при проверках.
