Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» возлагает на субъекты КИИ обязанность провести категорирование своих объектов. Это не просто формальная процедура, а фундамент всей системы безопасности предприятия. От результатов категорирования зависит класс защиты, объем инвестиций в информационную безопасность (ИБ) и уровень ответственности руководства — вплоть до уголовной. Ошибки на этом этапе могут привести либо к избыточным тратам на защиту незначимых систем, либо к недостаточной защищенности критически важных узлов и санкциям со стороны регуляторов.
Категорирование объектов КИИ — это процесс определения их социальной, политической, экономической и экологической значимости для государства. Результатом процедуры является присвоение объекту одной из категорий значимости (первой, второй или третьей) либо принятие мотивированного решения об отсутствии необходимости присвоения категории. Процедура должна проводиться комиссией, созданной субъектом КИИ, а результаты — утверждаться руководителем и направляться во ФСТЭК России. Игнорирование этой обязанности является административным правонарушением, а в случае инцидента — отягчающим обстоятельством.
Кто обязан проводить категорирование?
Процедура обязательна для всех субъектов КИИ. К ним относятся государственные органы и учреждения, а также российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС) и автоматизированные системы управления (АСУ), функционирующие в сферах:
- Здравоохранения и Науки;
- Транспорта и Связи;
- Энергетики и Топливно-энергетического комплекса (ТЭК);
- Банковской сферы и финансовых рынков;
- Атомной энергии, Оборонной, Ракетно-космической промышленности;
- Горнодобывающей, Металлургической и Химической промышленности.
Этапы процедуры категорирования
Процесс строго регламентирован Постановлением Правительства РФ № 127.
Мы помогаем пройти все шаги алгоритма, чтобы избежать возврата документов ФСТЭК.
1. Создание комиссии
Приказом руководителя создается комиссия по категорированию. В ее состав должны входить эксперты по IT и ИБ, специалисты по основным технологическим процессам (главный инженер, технолог), юристы и представители режимно-секретного подразделения (при наличии). Важно грамотно оформить приказ и положение о комиссии.
2. Инвентаризация и выявление процессов
Комиссия должна определить все управленческие, технологические, производственные, финансово-экономические процессы в организации. Из них выделяются критические процессы — те, нарушение которых может привести к негативным последствиям.
На этом этапе формируется Перечень объектов КИИ, подлежащих категорированию. Этот перечень должен быть утвержден и направлен во ФСТЭК.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
3. Оценка масштаба ущерба
Для каждого объекта моделируются сценарии компьютерных атак и оцениваются последствия их реализации.
Оценка производится по показателям критериев значимости:
- Социальная значимость. Причинение ущерба жизни и здоровью людей (количество пострадавших), нарушение транспортного сообщения, отсутствие доступа к госуслугам.
- Политическая значимость. Нарушение международных отношений, срыв выборов и т.д.
- Экономическая значимость. Прямой ущерб бюджету РФ, снижение доходов субъекта.
- Экологическая значимость. Вред окружающей среде.
- Значимость для обороны и безопасности.
Если хотя бы один показатель превышает пороговое значение, объекту присваивается категория.
Результаты и ответственность
Итогом работы является Акт категорирования и Сведения о результатах присвоения категории. Эти документы направляются во ФСТЭК в течение 10 дней после утверждения. Регулятор проверяет корректность расчетов. Если ФСТЭК не согласен, он направит мотивированное требование изменить категорию.
Важно помнить: занижение категории — это риск. В случае кибератаки и наступления последствий, превышающих расчетные, руководителю грозит уголовная ответственность по ст. 274.1 УК РФ (нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации).
Мы обеспечиваем юридическое и методическое сопровождение категорирования, помогая найти баланс между требованиями безопасности и экономической целесообразностью защиты.