В какие сроки должно быть проведено категорирование объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Категорирование объектов КИИ проводится своевременно после выявления объектов и должно быть завершено до начала эксплуатации или использования объектов КИИ в критических процессах.

Проще говоря, нельзя эксплуатировать объекты КИИ без предварительной оценки их значимости и присвоения категории. Сроки зависят от того, когда организация выявила объекты КИИ, и от внутренних регламентов, но ключевой принцип — процедура должна быть проведена до того, как объект начнёт оказывать влияние на жизненно важные процессы.

Что говорит законодательство

Федеральный закон № 187-ФЗ не устанавливает конкретного календарного срока для проведения категорирования, однако ст. 7 закона обязывает субъекта КИИ обеспечивать выявление и категорирование объектов до эксплуатации, а также фиксировать результаты в документации.

Методические документы ФСТЭК России уточняют, что процедура должна быть проведена при первоначальном выявлении объекта КИИ, а при появлении новых объектов — в течение разумного срока с момента их выявления, чтобы обеспечить соответствие требованиям безопасности.

Нарушение сроков проведения категорирования может рассматриваться как несоблюдение требований закона.

Как это работает на практике

В организациях процесс обычно строится так:

• после выявления объекта КИИ назначается ответственная группа;
• проводится анализ последствий его отказа;
• присваивается категория значимости;
• результаты документируются.

На практике, при выявлении новых объектов КИИ, категорирование рекомендуется завершать в течение нескольких месяцев, чтобы не нарушать требования 187-ФЗ и методических документов ФСТЭК.

Пример: если организация внедрила новую систему управления энергоснабжением, она должна сразу провести её категорирование до того, как система начнёт работу в критическом режиме.

Выводы и рекомендации

Категорирование объектов КИИ должно проводиться не позднее начала эксплуатации объектов и сразу после их выявления.

Рекомендуется:

• включать процедуру категорирования в проектную документацию при запуске новых систем;
• документировать дату выявления объекта и дату проведения категорирования;
• использовать результаты для формирования мер защиты и соответствия требованиям 187-ФЗ.

Соблюдение сроков категорирования минимизирует риски нарушений закона и повышает безопасность критических процессов.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге