В чём отличие первой категории значимости объекта КИИ от второй и третьей?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Основное отличие первой категории значимости от второй и третьей заключается в масштабе и тяжести возможных последствий нарушения работы объекта. Первая категория присваивается объектам, сбой которых может привести к наиболее серьёзным последствиям — для жизни людей, экономики или безопасности государства. Вторая и третья категории применяются к объектам с менее тяжёлыми последствиями.

Что говорит законодательство

В соответствии с Федеральным законом № 187-ФЗ и Методикой определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, различия между категориями значимости определяются пороговыми значениями показателей последствий нарушения функционирования объекта.

Первая категория значимости присваивается объектам, при нарушении работы которых возможны:

• угроза жизни и здоровью значительного числа людей;

• причинение крупного экономического ущерба;

• серьёзное влияние на оборону страны или безопасность государства;

• масштабные социальные или инфраструктурные последствия.

Вторая категория значимости применяется, если последствия:

• существенные, но менее масштабные, чем для первой категории;

• не достигают максимальных пороговых значений, установленных методикой.

Третья категория значимости присваивается объектам, сбой которых может привести:

• к ограниченным, локальным последствиям;

• к ущербу, не выходящему за рамки минимальных пороговых значений.

Категория определяется по наивысшему достигнутому порогу хотя бы по одному показателю.

Как это работает на практике

На практике комиссия субъекта КИИ:

• анализирует возможные последствия нарушения функционирования объекта по всем направлениям;

• сопоставляет их с пороговыми значениями методики ФСТЭК;

• если достигается порог первой категории хотя бы по одному показателю — объект относится к I категории;

• если пороги первой категории не достигнуты, но достигнуты пороги второй или третьей — присваивается соответствующая категория;

• при отсутствии достижений всех порогов объект признаётся незначимым.

Важно понимать, что категория:

• не зависит от размера организации;

• не определяется «по умолчанию»;

• присваивается только на основании расчётов и анализа последствий.

Выводы и рекомендации

Первая категория значимости отличается от второй и третьей наибольшей тяжестью возможных последствий нарушения функционирования объекта КИИ. Именно масштаб ущерба и влияние на жизненно важные процессы определяют принадлежность объекта к той или иной категории.

Рекомендуется при категорировании внимательно анализировать последствия по всем направлениям и строго применять пороговые значения методики ФСТЭК. Ошибочное занижение категории первой значимости является одним из наиболее критичных нарушений при проверках регуляторов.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге