Нормативная основа полномочий ФСТЭК
Полномочия ФСТЭК России требовать пересмотра категорирования вытекают из:
-
Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ от 08.02.2018 № 127.
Указанные акты наделяют ФСТЭК правом проверять достоверность, полноту и актуальность сведений о категорировании.
Выявление недостоверных или неполных сведений
ФСТЭК вправе потребовать пересмотра категорирования, если установлено, что:
-
использованы неполные или искажённые исходные данные;
-
некорректно определены функции объекта КИИ;
-
неверно установлены границы объекта;
-
проигнорированы зависимости, интеграции или подрядчики.
Недостоверность исходных данных делает результаты категорирования юридически несостоятельными.
Некорректное применение критериев значимости
Основанием для пересмотра является:
-
неправильный выбор критериев значимости;
-
неверное определение показателей критериев;
-
ошибочное сопоставление с пороговыми значениями;
-
отсутствие расчётов или логического обоснования значений.
Если критерии ПП РФ № 127 применены формально или произвольно, ФСТЭК вправе потребовать повторной оценки.
Неполный или формальный анализ последствий
Пересмотр категорирования возможен, если выявлено:
-
игнорирование отдельных видов последствий (социальных, экономических, экологических, государственных);
-
отсутствие анализа длительности последствий;
-
отсутствие сценариев нарушения функционирования;
-
декларативные формулировки без подтверждающих данных.
ФСТЭК оценивает именно качество анализа последствий, а не саму категорию.
Противоречия в документах по категорированию
Основанием для требования пересмотра являются:
-
расхождения между протоколами комиссии и актом категорирования;
-
несоответствие направленных в ФСТЭК сведений внутренним документам;
-
логические противоречия между описанием объекта и выводами комиссии.
Такие несоответствия трактуются как нарушение процедуры категорирования.
Утрата актуальности результатов категорирования
ФСТЭК вправе потребовать пересмотра, если:
-
изменился состав или архитектура объекта КИИ;
-
изменились обеспечиваемые процессы или функции;
-
появились новые интеграции или подрядчики;
-
изменились последствия нарушения функционирования.
Категорирование должно отражать текущее состояние объекта, а не исторические данные.
Выявление нарушений в ходе проверок
В рамках контрольных мероприятий ФСТЭК может:
-
выдать замечания;
-
оформить требование об устранении нарушений;
-
обязать провести повторное или внеплановое категорирование.
В этом случае пересмотр категорирования является способом устранения выявленных нарушений.
Что ФСТЭК не делает при пересмотре
Важно учитывать, что ФСТЭК:
-
не пересматривает категорию самостоятельно;
-
не присваивает новую категорию;
-
не подменяет собой комиссию субъекта КИИ.
Пересмотр всегда выполняется субъектом КИИ, который сохраняет полную ответственность за итоговое решение.
Ключевой вывод
ФСТЭК России вправе потребовать пересмотра категорирования КИИ, если выявлены:
-
недостоверные или неполные сведения;
-
ошибки применения критериев значимости;
-
формальный или неполный анализ последствий;
-
противоречия в документах;
-
утрата актуальности результатов.
Пересмотр категорирования — это механизм приведения результатов в соответствие требованиям 187-ФЗ и ПП РФ № 127, а не вмешательство регулятора в управленческое решение субъекта КИИ.
