Что говорит законодательство
Согласно Федеральному закону № 187-ФЗ, субъект КИИ обязан выявить принадлежащие ему объекты критической информационной инфраструктуры.
Детализация этого требования содержится в Методике определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235.
Закон и методика прямо указывают, что категорирование проводится в отношении выявленных объектов КИИ, а не всей ИТ-инфраструктуры организации в целом. Это означает, что первым обязательным шагом является идентификация таких объектов и определение их функционального назначения.
Как это работает на практике
На практике процесс начинается с инвентаризации и анализа ИТ-и технологических систем организации. Определяется, какие из них:
-
обеспечивают выполнение критически важных процессов;
-
используются в сферах, указанных в 187-ФЗ;
-
при нарушении работы могут привести к значимым социальным, экономическим, экологическим последствиям или затронуть безопасность государства.
На этом этапе:
-
категории ещё не присваиваются;
-
расчёты по методике ФСТЭК не выполняются;
-
формируется перечень объектов, которые подлежат дальнейшему категорированию.
Именно корректность этого начального этапа определяет точность всей последующей процедуры.
Выводы и рекомендации
Процесс категорирования объектов КИИ начинается с выявления объектов КИИ внутри организации. Это обязательный стартовый этап, установленный 187-ФЗ и методикой ФСТЭК, без которого дальнейшее определение категории значимости невозможно.
Рекомендуется уделять особое внимание начальному этапу, корректно определять границы и назначение объектов и фиксировать результаты выявления документально. Ошибки на старте приводят к некорректному категорированию и рискам претензий со стороны регуляторов.
