Что говорит законодательство
В соответствии с Федеральным законом № 187-ФЗ и Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, категория значимости объекта КИИ определяется на основании:
-
последствий нарушения функционирования объекта КИИ;
-
показателей значимости, установленных методикой;
-
пороговых значений, соответствующих I, II или III категории.
Методика предусматривает анализ последствий по следующим направлениям:
-
социальные;
-
экономические;
-
экологические;
-
последствия для обороны страны и безопасности государства.
Категория присваивается по наибольшему достигнутому порогу хотя бы по одному показателю.
Как это работает на практике
На практике категория значимости объекта КИИ формируется следующим образом:
-
комиссия анализирует, к чему приведёт нарушение работы конкретного объекта;
-
для каждого вида последствий определяются соответствующие показатели;
-
полученные значения сопоставляются с пороговыми значениями методики ФСТЭК;
-
если достигается порог I категории — объект относится к I категории;
-
если пороги I категории не достигнуты, но достигнуты пороги II или III категории — присваивается соответствующая категория;
-
если ни один порог не достигнут — объект признаётся незначимым.
Важно:
-
категория не зависит от уровня защищённости системы;
-
не учитывается вероятность инцидента;
-
не имеет значения форма собственности или масштаб организации.
Выводы и рекомендации
Категория значимости объекта КИИ зависит исключительно от возможных последствий нарушения его функционирования и определяется по методике ФСТЭК. Тип системы, её стоимость или субъективная оценка критичности не являются основанием для присвоения категории.
Рекомендуется при категорировании фокусироваться на корректной оценке последствий, строго применять показатели и пороговые значения методики и документально обосновывать все выводы. Это является ключевым условием законного и устойчивого категорирования объекта КИИ.
