Нормативная основа актуализации документов
Обязанность актуализации документов по КИИ следует из:
-
Федерального закона от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правил категорирования объектов КИИ, утверждённых Постановлением Правительства РФ № 127;
-
подзаконных актов и методических документов ФСТЭК России.
Регулятор исходит из принципа: документы должны соответствовать фактическому состоянию объекта КИИ на любой момент времени.
Изменения, затрагивающие объект КИИ
Актуализация документов требуется, если:
-
изменился состав объекта КИИ;
-
пересмотрены его границы;
-
добавлены или исключены подсистемы;
-
объект был разделён или объединён с другим.
Такие изменения напрямую влияют на корректность категорирования и описания объекта.
Изменение функционального назначения или процессов
Документы подлежат актуализации, если:
-
изменились обеспечиваемые бизнес- или технологические процессы;
-
выросла или снизилась критичность функций объекта;
-
изменились условия эксплуатации или режимы работы.
Даже без технических изменений изменение функций требует пересмотра документов.
Существенные архитектурные и технические изменения
Актуализация обязательна при:
-
изменении архитектуры системы;
-
добавлении новых интеграций;
-
переходе в ЦОД или облачную инфраструктуру;
-
изменении схем резервирования и восстановления.
Если архитектура изменилась, но документы остались прежними, они считаются недостоверными.
Изменение категории значимости или результатов категорирования
Документы по КИИ подлежат актуализации, если:
-
проведено повторное или внеплановое категорирование;
-
изменена категория значимости объекта;
-
объект признан значимым или незначимым повторно.
В таких случаях актуализируются все документы, завязанные на категорию значимости.
Изменения во внешних зависимостях и подрядчиках
Актуализация требуется, если:
-
изменились подрядчики или модель аутсорсинга;
-
переданы функции эксплуатации или администрирования;
-
появились новые критические внешние зависимости.
Такие изменения напрямую влияют на анализ последствий и меры защиты.
Реорганизация или изменения в субъекте КИИ
Документы подлежат актуализации при:
-
реорганизации юридического лица;
-
изменении структуры управления;
-
смене ответственных подразделений;
-
перераспределении ролей и ответственности.
Даже при неизменности объекта КИИ документы должны отражать актуального субъекта и ответственность.
Выявление несоответствий или ошибок
Основанием для актуализации является:
-
выявление ошибок в ранее разработанных документах;
-
расхождения между документами и фактическим состоянием;
-
замечания по результатам внутреннего аудита или проверки регулятора.
Исправление ошибок должно быть оформлено документально.
Требования и предписания регулятора
Обязательная актуализация документов осуществляется:
-
по требованию ФСТЭК;
-
в рамках исполнения предписаний;
-
по результатам контрольных мероприятий.
В этих случаях объём и сроки актуализации определяются регулятором.
Плановая проверка актуальности
Даже при отсутствии изменений рекомендуется:
-
периодически проверять актуальность документов;
-
фиксировать результаты анализа;
-
подтверждать отсутствие оснований для пересмотра.
Отсутствие такой проверки трактуется как формальный подход к КИИ.
Какие документы подлежат актуализации
В зависимости от изменений актуализации подлежат:
-
перечень объектов КИИ;
-
материалы категорирования;
-
акты и протоколы комиссии;
-
документы по мерам защиты;
-
сведения, направляемые регулятору (при наличии оснований).
Ключевой вывод
Актуализация документов по КИИ требуется во всех случаях, когда:
-
изменилось фактическое состояние объекта КИИ;
-
пересмотрены функции, архитектура или границы системы;
-
изменились результаты категорирования или категория значимости;
-
изменились внешние зависимости или ответственность;
-
выявлены ошибки или получены требования регулятора.
Главный принцип: если документ перестал точно описывать реальный объект КИИ и условия его функционирования, он подлежит актуализации независимо от даты разработки.
