В каком виде может вестись перечень объектов КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Перечень объектов КИИ может вестись в бумажном, электронном или смешанном виде. Закон не устанавливает обязательного формата. Ключевое требование — перечень должен быть утверждён, актуален и подтверждаем, независимо от того, в каком виде он оформлен.

Что говорит законодательство

Федеральный закон № 187-ФЗ не устанавливает форму и формат ведения перечня объектов КИИ.

Требования закона и Методики определения значимости объектов КИИ, утверждённой приказом ФСТЭК России № 235, сводятся к следующему:

• субъект КИИ обязан выявить объекты КИИ;

• результаты выявления должны быть оформлены документально;

• перечень должен быть доступен для проверки и подтверждать полноту выявления объектов.

Следовательно, допустим любой формат, обеспечивающий юридическую значимость и проверяемость перечня.

Как это работает на практике

Допускается ведение перечня в бумажном виде при условии, что:

• документ утверждён руководителем субъекта КИИ;

• обеспечена сохранность оригинала;

• актуализация оформляется новыми версиями или изменениями.

Допускается ведение перечня в электронном виде, если:

• документ оформлен как электронный документ;

• обеспечена неизменность и идентификация версии;

• перечень может быть представлен регулятору в читаемом виде;

• при необходимости используется квалифицированная электронная подпись.

Наиболее распространённая практика — это смешанный формат:

• рабочее ведение перечня — в электронном виде;

• утверждённая версия — в бумажном виде или подписанном электронном документе;

• изменения фиксируются отдельными утверждёнными решениями.

Важно:

• электронная таблица без утверждения не считается официальным перечнем;

• отсутствие версии с утверждением приравнивается к отсутствию перечня;

• формат хранения не заменяет требования к актуальности.

Выводы и рекомендации

Перечень объектов КИИ может вестись в любом формате — бумажном, электронном или смешанном. Критично не то, как он выглядит, а то, что он утверждён, актуален и подтверждает полноту выявления объектов КИИ.

Рекомендуется:

• выбрать единый формат ведения перечня;

• обеспечивать утверждение каждой актуальной версии;

• хранить предыдущие версии для подтверждения истории изменений;

• синхронизировать изменения перечня с процессами категорирования.

Такой подход соответствует требованиям 187-ФЗ и практике регуляторного контроля и позволяет субъекту КИИ уверенно подтверждать корректность работы с перечнем объектов КИИ.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге