Категорирование — это альфа и омега законодательства о КИИ. Именно на этом этапе определяется, какие системы будут защищаться по максимуму, а какие останутся под базовым контролем. Ответственность за этот процесс несет руководитель субъекта КИИ, но всю работу выполняет специально созданный коллегиальный орган. Комиссия по категорированию КИИ документы готовит, анализирует процессы и принимает решения, которые затем ложатся в основу Акта. Ошибки в работе комиссии или отсутствие подтверждающих документов могут привести к обвинению в халатности или сокрытии информации.
Деятельность комиссии регламентируется Постановлением Правительства РФ № 127. Это не формальный орган «для галочки». Комиссия должна реально собраться, изучить архитектуру сети, опросить технологов о критических процессах и рассчитать возможный ущерб. Каждый шаг этого процесса должен быть задокументирован. Если ФСТЭК при проверке увидит Акт категорирования, но не увидит протоколов заседаний комиссии или исходных данных для расчетов, результаты будут аннулированы.
Состав и полномочия комиссии
Первый документ — Приказ о создании комиссии.
В состав обязательно включаются:
- Председатель (руководитель организации или уполномоченный заместитель).
- Специалисты по IT и ИБ.
- Работники, эксплуатирующие критические процессы (главный инженер, главный врач, технолог, финансист).
- Представители режимно-секретного подразделения и ГО и ЧС (при наличии).
Важно: комиссия должна быть компетентной. Нельзя включить туда только юриста и бухгалтера, так как они не смогут оценить технические параметры атак.
Пакет документов, разрабатываемый комиссией
В ходе работы создается целый архив документов, который необходимо хранить для проверок.
Ключевые документы:
- Перечень объектов КИИ, подлежащих категорированию. Список всех ИС, АСУ и ИТС, которые обслуживают критические процессы. Этот перечень утверждается и отправляется во ФСТЭК.
- Протоколы заседаний. Фиксация хода обсуждения: как определяли критические процессы, какие модели угроз рассматривали, почему выбрали те или иные показатели ущерба.
- Расчеты показателей значимости. Таблицы с обоснованием цифр (например, количество жителей, которые останутся без воды в случае аварии).
- Акт категорирования. Итоговый документ на каждый объект. Содержит вывод: присвоена категория (1, 2, 3) или нет, и почему.
- Сведения о результатах. Форма (по Приказу ФСТЭК № 236), которая направляется регулятору.
Типичные ошибки в документах
На чем «горят» компании при проверках:
- Отсутствие обоснования «отсутствия». Если комиссия решила, что категория не нужна, в Акте должно быть четко прописано, почему показатели значимости не превышены. Фраза «ущерба не будет» без расчетов не принимается.
- Несоответствие дат. Акт категорирования подписан раньше, чем утвержден перечень объектов.
- Подписи неуполномоченных лиц. Акт должен быть подписан всеми членами комиссии. Отсутствие подписи одного члена делает документ недействительным.
Мы помогаем организовать работу комиссии «под ключ»: готовим проекты приказов, проводим модерацию заседаний, выполняем сложные расчеты показателей значимости и формируем итоговый пакет документов, который гарантированно пройдет проверку ФСТЭК.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов