Разработка Акта категорирования КИИ: расчет показателей и обоснование

Юридическое значение Акта категорирования КИИ

Акт категорирования фиксирует решение комиссии о значимости объекта критической информационной инфраструктуры. Федеральный закон 187-ФЗ обязывает субъектов КИИ проводить оценку систем и оформлять результаты документально. Комиссия предприятия анализирует бизнес-процессы, выявляет критические узлы и оценивает масштаб возможных последствий от компьютерных атак. Руководитель организации подписывает готовый документ и несет персональную ответственность за достоверность указанных сведений.

Акт категорирования служит фундаментом системы безопасности предприятия. Ошибки в этом документе делают дальнейшее построение защиты бессмысленным и юридически уязвимым.

Документ содержит обоснование присвоения объекту одной из трех категорий значимости. Если комиссия признает объект незначимым, она обязана доказать отсутствие ущерба по всем 14 показателям. ФСТЭК России проверяет эти обоснования. При обнаружении несоответствий регулятор возвращает документы и требует повторного проведения процедуры.

Риски использования типовых шаблонов

Многие компании пытаются скачать образец Акта категорирования КИИ в интернете. Этот подход создает критические риски для бизнеса и руководства. Типовые бланки не учитывают отраслевую специфику. Расчеты ущерба для медицинского центра и металлургического завода принципиально различаются. Инспекторы ФСТЭК легко распознают шаблонные формулировки и отсутствие реальной аналитики.

Использование чужих расчетов приводит к следующим последствиям:

• Отказ в согласовании. ФСТЭК выявит логические ошибки в расчетах и вернет сведения на доработку.
• Административные штрафы. Статья 13.44 КоАП РФ предусматривает взыскания за нарушение порядка категорирования.
• Уголовная ответственность. Статья 274.1 УК РФ применяется при предоставлении заведомо недостоверных данных, если это повлекло вред.
• Внеплановые проверки. Регулятор вносит компании с некачественной документацией в план приоритетного контроля.

Обязательная структура документа по требованиям ФСТЭК

Постановление Правительства № 127 и приказы ФСТЭК определяют содержание акта. Документ должен описывать техническую и организационную составляющую объекта. Комиссия включает в текст сведения о составе программного обеспечения и используемом оборудовании. Особое внимание уделяют средствам защиты информации и сетевой архитектуре.

Правильный Акт состоит из нескольких ключевых блоков:

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

1. Описание объекта. Назначение системы, ее функции и роль в производственном процессе.
2. Модель угроз. Список потенциальных нарушителей и векторов компьютерных атак.
3. Расчет показателей. Детальный анализ ущерба по социальным, экономическим, политическим, экологическим и оборонным критериям.
4. Категория значимости. Итоговое решение о присвоении категории или ее отсутствии.

Точный расчет экономических показателей требует доступа к финансовой отчетности и понимания механики остановки бизнес-процессов. Формальный подход здесь недопустим.

Методика расчета 14 показателей значимости

Специалисты оценивают последствия нарушения работы объекта по пяти группам критериев. Социальный ущерб включает оценку вреда жизни и здоровью людей, нарушение связи или транспортного обеспечения. Экономический критерий требует расчета убытков субъекта и потерь федерального бюджета. Политический ущерб оценивает влияние инцидента на имидж страны и международные соглашения.

Для каждого показателя эксперты собирают исходные данные. Если компания владеет водоканалом, она рассчитывает количество людей, которые останутся без воды при сбое системы. Если речь идет о химическом предприятии, специалисты моделируют зону заражения и число пострадавших. Каждый вывод в Акте подкрепляется ссылками на официальную статистику, финансовые документы или технические регламенты.

Часто организации совершают ошибку, указывая показатель как «неприменимый» без объяснения причин. Регулятор требует четкого обоснования, почему конкретный критерий не затрагивает деятельность предприятия. Мы помогаем сформулировать эти доводы так, чтобы у проверяющих не возникло дополнительных вопросов.

Процесс легализации и отправки сведений

После подписания Акта всеми членами комиссии и утверждения руководителем процедура не заканчивается. Субъект КИИ обязан в течение 10 рабочих дней направить сведения о результатах категорирования во ФСТЭК. Данные переносят из Акта в специальную форму, утвержденную приказом № 236. Эта форма содержит краткое изложение основных разделов акта в структурированном виде.

Мы берем на себя полное сопровождение этого процесса:

• Проверка документации. Анализируем существующие акты на соответствие актуальным методикам ФСТЭК.
• Разработка расчетов. Формируем доказательную базу для каждой категории или обосновываем ее отсутствие.
• Заполнение форм. Переносим данные в электронные и бумажные анкеты для отправки регулятору.
• Взаимодействие с регулятором. Отвечаем на запросы и замечания ФСТЭК до получения положительного результата.

Индивидуальная разработка документов гарантирует защиту интересов собственника. Мы учитываем специфику сетевой инфраструктуры и реальные угрозы. Это избавляет руководство от необходимости тратить время на исправление замечаний и защищает от претензий со стороны контролирующих органов. Правильно оформленный Акт становится залогом успешного прохождения любых проверок в сфере безопасности критической инфраструктуры.