Категорирование объектов КИИ по 187-ФЗ: пошаговый порядок и практические рекомендации

Опубликовано: Новости

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» обязывает собственников объектов КИИ https://www.securityvision.ru/blog/kategorirovanie-obektov-kriticheskoy-informatsionnoy-infrastruktury-v-ramkakh-187-fz-chast-1-postano/ проводить их категорирование. Это процедура определения значимости объекта, от которой напрямую зависят требования к защите информации, периодичность контроля и меры реагирования на инциденты. Невыполнение или некорректное категорирование влечёт административную и уголовную ответственность. Далее разбирается пошаговый алгоритм действий, типичные ошибки и ответы на спорные вопросы.

«Категорирование объектов КИИ — это не формальность, а основа всей системы защиты. Без присвоенной категории невозможно законно применять меры ГОСОПКА и получать лицензии ФСТЭК на некоторые виды деятельности».

Что такое объект КИИ и зачем нужно категорирование

Согласно 187-ФЗ, объект критической информационной инфраструктуры — это информационные системы, автоматизированные системы управления технологическими процессами, сети электросвязи, используемые в сферах здравоохранения, транспорта, связи, энергетики, финансового рынка, топливно-энергетического комплекса, оборонной и ракетно-космической промышленности. Категорирование необходимо для расстановки приоритетов государственного контроля: объекты высшей категории требуют максимального внимания, внедрения средств защиты от НСВ как минимум 4-го класса, уведомления о всех инцидентах в ГосСОПКА.

  • Категория 1 (особо значимые) — остановка или нарушение работы приводит к чрезвычайной ситуации федерального или межрегионального масштаба.
  • Категория 2 (значимые) — последствия на уровне субъекта РФ или нескольких отраслей.
  • Категория 3 (рядовые) — нарушение работы затрагивает одного юридического лица или локальный регион.

Порядок категорирования объектов КИИ: 5 обязательных этапов

Процедура регламентируется приказом ФСТЭК России от 14.03.2018 № 48. Ниже приведена таблица с этапами и сроками.

Этап Действие Максимальный срок
1 Формирование перечня объектов КИИ субъекта 3 месяца с момента признания объекта КИИ
2 Оценка критериев значимости (социальные, экономические, экологические, общественной безопасности) 1 месяц
3 Присвоение категории и оформление акта категорирования 10 рабочих дней после оценки
4 Согласование акта с государственным органом (для субъектов ТЭК, финансов, транспорта) 15 рабочих дней
5 Направление акта в ФСТЭК России (реестр КИИ) 10 рабочих дней после подписания

«Ошибка на этапе оценки критериев — самая дорогая. Занижение категории грозит штрафами до 500 тыс. рублей на юрлицо и дисквалификацией руководителя. Завышение — неоправданными затратами на СЗИ в 3–5 раз выше необходимых».

Критерии значимости объектов КИИ: как рассчитать

Приказ № 48 устанавливает четыре группы критериев. По каждому критерию определяется возможный ущерб по шкале от 1 до 4 баллов. Итоговая категория вычисляется по сумме баллов или по максимальному одиночному показателю. Социальные критерии (количество пострадавших, нарушение жизнеобеспечения) имеют приоритет над экономическими.

  1. Социальные: количество граждан, чья жизнь или здоровье могут быть поставлены под угрозу.
  2. Экономические: прямой ущерб в рублях или доля от ВРП региона.
  3. Экологические: площадь загрязнения, вред животному миру.
  4. Общественной безопасности: угроза массовых беспорядков, дестабилизация работы критически важных объектов.

На практике самый частый спорный момент — оценка ущерба для информационных систем, которые не имеют прямых технологических связей с производством. Например, биллинговая система телеком-оператора. Если её отключение не останавливает сети связи мгновенно, то некоторые организации ошибочно ставят категорию 3, хотя по социальному критерию она может достигать 2.

Перечень объектов КИИ: как его составить и утвердить

Перечень — это внутренний документ организации, который утверждается руководителем и далее направляется в ФСТЭК. В перечень включаются все объекты, соответствующие признакам КИИ. Распространённая ошибка: включать в перечень только ИС, но забывать про АСУ ТП и сегменты сетей связи. Ещё одна проблема — дублирование объектов. Одна физическая система, решающая несколько задач, должна быть одним объектом КИИ, а не десятью.

После утверждения перечня собственник в течение 10 рабочих дней направляет его в территориальный орган ФСТЭК. Далее ФСТЭК ведёт реестр КИИ. Изменения в перечень вносятся при модернизации объекта, изменении его функций или появлении новых угроз.

«Если вы не уверены, является ли объект КИИ — применяйте презумпцию “является”. Лучше провести категорирование и получить категорию 3, чем не провести и получить штраф за отсутствие акта категорирования как такового».

Акт категорирования объекта КИИ: структура и типичные нарушения

Акт категорирования — это документ, фиксирующий присвоенную категорию и обоснование. Форма акта рекомендована ФСТЭК (приложение № 3 к приказу № 48), но не строго обязательна к буквальному воспроизведению. В акте должны быть: перечень рассматриваемых объектов, расчёт критериев по каждому объекту, итоговая категория, подписи комиссии. Частые нарушения: отсутствие расчёта экономического ущерба в акте (просто «по экспертному мнению»), неподтверждённые данные о количестве граждан, подпись только руководителя без членов комиссии.

  • Обязательные члены комиссии: руководитель подразделения — владельца объекта, руководитель ИБ, главный инженер (для АСУ ТП).
  • Срок хранения акта: постоянно в организации и 5 лет после ликвидации объекта.
  • Пересмотр категории: не реже одного раза в 5 лет или при изменении параметров объекта.

Ответственность за нарушение правил категорирования

Административная ответственность по ст. 13.12 КоАП РФ (невыполнение требований к защите информации на объектах КИИ) — штраф на должностных лиц от 10 до 50 тыс. рублей, на юрлиц — от 100 до 500 тыс. рублей. Если отсутствие категорирования привело к блокировке работы объекта КИИ и тяжким последствиям, возможна уголовная ответственность по ст. 274.1 УК РФ (неправомерное воздействие на КИИ) — лишение свободы до 5 лет.

При этом самая частая санкция от ФСТЭК — не штраф, а предписание устранить нарушение с приостановкой обработки информации на объекте до проведения категорирования. Для предприятия это означает простой критических процессов, что по经济损失 исчисляется миллионами рублей в день.

0
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Новости 0
Обменять наличные RUB на Tether (USDT): полное руководство по безопасному обмену
Обмен наличных рублей на криптовалюту Tether (USDT) — востребованная услуга среди трейдеров, инвесторов и
Новости 0
Банковская гарантия по 44-ФЗ: полное руководство для участников госзакупок
Участие в государственных закупках по Федеральному закону № 44-ФЗ требует от поставщика предоставления обеспечения
Новости 0
Услуги по переезду офиса | Быстрый и профессиональный переезд офиса
Переезд офиса: как организовать быстрый и беспроблемный переезд бизнеса Переезд офиса — это сложный
Новости 0
Стандарты чистоты в офисе: как качественная уборка от клининга повышает продуктивность сотрудников
Чистота в рабочем пространстве перестала быть просто вопросом эстетики. Исследования подтверждают: грязный офис с
Новости 0
Мебель для бизнеса: как продуманная обстановка влияет на удобство офиса, кабинета и коммерческого пространства
Офисная обстановка — это не только вопрос эстетики, но и мощный инструмент управления производительностью,
Новости 0
Кондитерская упаковка: виды, материалы и правила выбора для бизнеса
В мире сладостей внешний вид не менее важен, чем вкус. Именно кондитерская упаковка https://center-pack.com/upakovka-dlya-konditerskih-izdelij/
Добавить комментарий