Документальное оформление комиссии по категорированию КИИ

Зачем нужна комиссия по категорированию КИИ

Категорирование определяет уровень защиты информационных систем организации. Руководитель субъекта КИИ отвечает за результаты процесса лично. Для выполнения задачи он создает коллегиальный орган. Комиссия анализирует технологические процессы, находит критические точки и оценивает масштаб возможных аварий. Результаты этой работы ложатся в основу Акта категорирования.

Ошибки в оформлении документов или формальный подход создают риски для бизнеса. ФСТЭК признает результаты недействительными, если компания не представит доказательства работы комиссии. Отсутствие протоколов или расчетов регулятор трактует как сокрытие информации или халатность.

Работа комиссии по категорированию подтверждает легитимность установленных уровней безопасности и защищает руководство организации от административной ответственности.

Состав комиссии и требования к участникам

Руководитель организации подписывает Приказ о создании комиссии. В состав включают сотрудников, которые понимают архитектуру сети и специфику бизнес-процессов. Нельзя поручить категорирование только юристам или бухгалтерам. Они не смогут оценить технические параметры угроз или масштаб сбоя в автоматизированной системе управления.

В состав комиссии обычно входят следующие специалисты:

• Председатель. Эту роль берет на себя руководитель организации или его заместитель.
• Специалисты по ИТ и информационной безопасности. Они описывают состав объектов КИИ и настраивают средства защиты.
• Технологи и главные инженеры. Эти сотрудники знают, как сбой в программе повлияет на реальное производство или оказание услуг.
• Финансисты и экономисты. Они рассчитывают экономический ущерб от потенциальных компьютерных атак.
• Специалисты по ГО и ЧС. Они оценивают риски для жизни людей и экологии.

Количество участников зависит от структуры компании. Важно зафиксировать полномочия каждого члена в Положении о работе комиссии. Это исключает конфликты при согласовании итоговых документов.

Обязательный пакет документов для ФСТЭК

Комиссия формирует архив документов. Регулятор запрашивает его при проверках. Если компания не покажет исходные данные, ФСТЭК аннулирует категорию значимости. Это приведет к требованию пересмотреть результаты в кратчайшие сроки.

Основные документы включают следующие позиции:

1. Перечень объектов КИИ. Вы включаете сюда все системы, которые обеспечивают критические процессы. Этот список вы отправляете во ФСТЭК сразу после утверждения.
2. Положение о комиссии. Документ определяет порядок созыва заседаний и правила принятия решений.
3. Протоколы заседаний. Комиссия фиксирует каждое решение на бумаге. В протоколах отражают ход обсуждения моделей угроз и выбор показателей значимости.
4. Материалы расчетов. Вы прикладываете таблицы и обоснования цифр. Если вы указываете отсутствие ущерба, вы должны подтвердить это ссылками на статистику или финансовую отчетность.
5. Акт категорирования. Это главный отчетный документ. Вы составляете его на каждый объект отдельно.

Акт содержит сведения о присвоенной категории или обоснование ее отсутствия. Все члены комиссии подписывают документ. После этого вы готовите Сведения о результатах по форме Приказа ФСТЭК № 236 и направляете их регулятору.

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

Типичные ошибки в документальном оформлении

Компании часто допускают формальные ошибки. ФСТЭК внимательно проверяет хронологию событий. Если вы подписали Акт категорирования раньше, чем утвердили перечень объектов, проверяющий признает процедуру нарушенной. Внимательно следите за датами в приказах и протоколах.

Другая проблема касается обоснования отказов. Многие организации пишут в документах, что ущерб невозможен. ФСТЭК отклоняет такие формулировки без конкретных расчетов. Вы обязаны доказать, что сбой в системе не приведет к социальным, экономическим или экологическим последствиям в рамках заданных критериев.

Каждый прочерк в таблице показателей значимости требует письменного пояснения с опорой на факты и цифры.

Несоответствие состава комиссии также вызывает вопросы. Если в обсуждении не участвовали технические специалисты, регулятор усомнится в достоверности данных. Убедитесь, что подписи в актах принадлежат именно тем людям, которые указаны в приказе о назначении комиссии.

Алгоритм работы комиссии по шагам

Сначала вы издаете приказ и определяете круг лиц. Затем комиссия выявляет все процессы в организации. Участники делят их на основные и вспомогательные. Для каждого процесса вы определяете системы, которые его обеспечивают. Так появляется список объектов для категорирования.

Далее вы проводите оценку по 16 показателям значимости. Вы учитываете вред здоровью людей, финансовые потери, влияние на обороноспособность и экологию. По результатам анализа вы присваиваете объекту первую, вторую или третью категорию. Если показатели не достигли пороговых значений, объект остается без категории.

Итоговые акты и сведения вы упаковываете в пакет и отправляете в территориальное управление ФСТЭК. Сохраняйте копии всех документов. Регулятор может запросить уточнения в течение 30 дней после получения материалов. Быстрая реакция на запросы ФСТЭК поможет избежать повторного категорирования и штрафов.

Помощь юристов и экспертов по КИИ

Наши эксперты организуют работу вашей комиссии под ключ. Мы готовим проекты локальных актов и регламентов. Юристы проверяют формулировки на соответствие Постановлению Правительства № 127. Это исключает претензии со стороны надзорных органов.

Мы берем на себя сложные расчеты показателей. Специалисты анализируют архитектуру вашей ИТ-инфраструктуры и оценивают риски. Вы получаете готовый пакет документов, который полностью соответствует требованиям законодательства. Мы сопровождаем процесс до момента внесения сведений в реестр ФСТЭК.