Пересмотр установленных категорий значимости объектов КИИ

Как известно, в соответствии с Правилами категорирования объектов критической информационной инфраструктуры (утв. постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127), субъект критической информационной инфраструктуры (далее – КИИ) в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости установления категорий значимости объектам КИИ (п. 21 Правил категорирования объектов КИИ).

В конце прошлого года (29 декабря 2022 года) вступили в силу изменения в Перечень показателей критериев значимости объектов КИИ и их значений, а значит, все субъекты КИИ должны пересмотреть установленные категории значимости или их отсутствие у принадлежащих им объектов КИИ. При этом, акцентирую внимание, именно пересмотреть, а не провести повторное (пере) категорирование, т.е. повторять всю процедуру полностью не требуется.

Что же нужно делать и как провести пересмотр установленных категорий значимости с минимальными трудозатратами?

«Вспоминаем» какие категории значимости есть у «наших» объектов КИИ. Если, например, все «наши» объекты КИИ имеют первую категорию значимости (а такие субъекты КИИ есть), то, по сути, изменение показателей никакого влияния на «нас» не оказывает, т.к. выше категорию значимости сделать невозможно, а внесенные изменения только снизили пороговые значения показателей критериев значимости, с процедурной же точки зрения достаточно одного показателя критериев значимости, по которому присвоена первая категория, расчет по остальным показателям не проводится (это прямо указано в п. 6 Правил категорирования объектов КИИ).

Однако, формально (процедурно) пересмотр категории значимости «мы» сделать должны. Организуем заседание постоянно действующей комиссии и документально фиксируем, что изменения показателей критериев значимости не оказывают влияние на категорию «наших» объектов КИИ.

Если есть объекты КИИ второй и третьей категории значимости, или без категории, в этом случае, с большой вероятностью пересмотр категории провести придется. Алгоритм действий комиссии по категорированию в этом случае, следующий:

  • Оценивает применимые к объектам КИИ показатели критериев значимости. В некоторых случаях (для некоторых объектов КИИ) изменения в перечне показателей критериев значимости касаются только тех, в отношении которых ранее была обоснована их неприменимость. Например, завод по производству металлических изделий: транспортные и государственные услуги не оказывает, оборонно-промышленным, государственным и стратегическим предприятием не является, в гособоронзаказе не участвует, в финансовой сфере не функционирует, а нарушение функционирования конкретного объекта КИИ (не являющегося значимым) экономический ущерб деятельности компании не наносит и на выплаты в бюджет не влияет.
  • Проводит оценку влияния изменений на актуальные для объектов КИИ показатели критериев значимости и их значения (сравнивает ранее полученные значения по каждому из рассчитываемых показателей критериев значимости с изменениями в перечне показателей критериев значимости), т.е. никакой переоценки угроз, критических процессов и т.п. как предусмотрено процедурой категорирования делать не обязательно, показатели критериев значимости в отношении которых была обоснована их неприменимость также анализировать не требуется.
  • Принятые решения фиксируются актами категорирования.
  • После утверждения актов, в случае если у объекта (объектов) КИИ произошло изменение категории значимости, во ФСТЭК России направляются сведения о категорировании по установленной форме.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

Читать свежее