Приказ о создании комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) — это организационно-распорядительный документ, регламентирующий порядок определения значимости объектов информатизации для национальной безопасности. В рамках настоящего материала мы рассмотрим правовые, технические и организационные аспекты категорирования КИИ, включая требования к составу комиссии и порядку её работы.
Важно! Этот документ можно скачать в КонсультантПлюс
Скачать в КонсультантПлюсБесплатный доступ к документуОбразец приказа о создании комиссии по категорированию объектов КИИ
Бланк приказа о создании комиссии по категорированию объектов КИИ
Понятие и сущность категорирования объектов КИИ
Объекты критической информационной инфраструктуры представляют собой информационные системы, сети и телекоммуникации, нарушение функционирования которых может повлечь значительные негативные последствия для безопасности государства. Процедура категорирования включает анализ степени значимости объекта по трем критериям: социальной, экономической и политической важности, последствиям возможных инцидентов, а также взаимосвязи с другими элементами КИИ. По результатам оценки объектам присваивается одна из трех категорий значимости, определяющая объем требований по их защите.
Особое внимание уделяется объектам, связанным с системами управления производственными и технологическими процессами на критически важных объектах. Категорирование проводится не реже одного раза в пять лет или при существенном изменении характеристик объекта.
Состав комиссии по категорированию
В состав комиссии включаются представители службы информационной безопасности, главные инженеры и технологи, руководители ключевых производственных подразделений. Обязательным является участие специалиста по защите информации, имеющего соответствующую квалификационную аттестацию ФСТЭК России. В крупных организациях привлекаются внешние эксперты из числа аккредитованных организаций в области безопасности КИИ.
Председателем комиссии, как правило, назначается технический директор или руководитель службы безопасности предприятия. Для обеспечения объективности оценки в состав комиссии могут включаться представители профильных министерств и ведомств, курирующих отрасль, к которой относится организация.
Роль приказа в организации процесса категорирования
Приказ руководителя организации служит правовым основанием для начала работ по категорированию и наделяет комиссию необходимыми полномочиями. В документе определяются сроки проведения работ, порядок взаимодействия между подразделениями и материально-техническое обеспечение процесса. Приказом утверждается методика категорирования, соответствующая отраслевым особенностям предприятия, и распределяются зоны ответственности между членами комиссии.
Особое внимание уделяется вопросам конфиденциальности — в приказе закрепляются меры по защите информации, полученной в ходе категорирования. Наличие правильно оформленного приказа обязательно для признания результатов категорирования действительными при проверках уполномоченных органов.
Нормативная база категорирования КИИ
Правовые основы процедуры установлены Федеральным законом №187-ФЗ "О безопасности критической информационной инфраструктуры". Детальный порядок категорирования регламентирован Приказом ФСТЭК России №235, утверждающим требования по безопасности значимых объектов КИИ. Отраслевые особенности учитываются в соответствии с методическими рекомендациями профильных министерств и ведомств.
Особое внимание уделяется соблюдению требований приказов Минцифры России, устанавливающих перечни показателей для оценки значимости объектов. Локальные акты организации должны разрабатываться с учетом последних изменений законодательства в области защиты КИИ и регулярно актуализироваться.
Практические аспекты работы комиссии
Деятельность комиссии начинается с инвентаризации информационных активов предприятия и составления перечня объектов, подлежащих категорированию. Для каждого объекта заполняется карта категорирования, содержащая сведения о его назначении, технических характеристиках и взаимосвязях с другими системами. Особое внимание уделяется анализу возможных последствий нарушения функционирования объектов, включая оценку масштабов потенциального ущерба.
По результатам работы комиссии составляется заключение с обоснованием присвоенной категории, которое утверждается руководителем организации. Все документы, связанные с категорированием, включаются в реестр значимых объектов КИИ предприятия и подлежат хранению в течение всего срока эксплуатации объектов.
Ответственность за проведение категорирования
Ненадлежащее выполнение процедуры категорирования может повлечь административную ответственность по статье 13.12.1 КоАП РФ с наложением штрафа до 100 тысяч рублей для юридических лиц. Особо строго карается сокрытие информации об объектах КИИ или предоставление заведомо ложных сведений при категорировании. Члены комиссии несут персональную ответственность за достоверность представленных данных и обоснованность принятых решений.
Регулярные проверки уполномоченных органов (ФСТЭК, ФСБ, Минцифры) контролируют правильность проведения категорирования и соответствие объектов установленным требованиям безопасности. Ведение реестра категорированных объектов является обязательным требованием для всех операторов КИИ.
Рассказываем, как оформить приказ «на пальцах»
Структурно приказ директора состоит из следующих структурных элементов: шапки, преамбулы, основной части, подписи директора и ознакомительного листа, в котором все причастные работники расписываются за то, что информация до них доведена в полном объеме. Каждый отдельно взятый элемент оформляется по-своему.
Первым делом нам следует обратить внимание на шапку. Здесь указывается название компании, в которой принимается решение, а также наименование распоряжения, его уникальный номер, дата издания. Подобного набора реквизитов окажется вполне достаточно, чтобы посчитать шапку распоряжения оформленной максимально корректно.
Следом принимаемся за оформление преамбулы. В этой части потребуется оставить ссылку на нормативный акт, который и стал поводом для принятия соответствующего решения.
Следующим шагом руководитель объявляет о создании комиссии по категорированию объектов КИИ. Ссылка на нормативную базу обязательна. Также необходимо решить вопрос о том, кто их работников будет следить за исполнением распоряжения. Чаще всего контроль за исполнением распоряжения директор оставляет за собой.
В завершение работы с документом начальник расписывается, передает приказ кадровику на издание, ознакомление и последующее хранение. Сам распорядительный документ должен храниться в накопителе в течение, как минимум, пяти лет.
Примерный образец
