Распоряжение Правительства РФ № 360-р не присваивает категорию значимости автоматически и не заменяет Постановление Правительства РФ № 127. Его основная задача — определить, какие информационные системы, ИТКС и АСУ должны пройти процедуру категорирования КИИ.
Постановление № 127 отвечает на второй ключевой вопрос: какая категория значимости КИИ присваивается объекту или требуется ли её присвоение.
Таким образом, современная процедура категорирования КИИ включает три этапа:
1. Выявление объектов КИИ, соответствующих типовым отраслевым перечням (360-р).
2. Оценка возможных последствий компьютерного инцидента по критериям Постановления № 127.
3. Присвоение категории значимости или принятие решения об отсутствии необходимости её присвоения.
Шаг 1. Сопоставление объектов КИИ с перечнем (360-р)
На первом этапе комиссия по категорированию КИИ проводит инвентаризацию всех информационных систем. Главная задача — определить, соответствует ли система типовым объектам, указанным в Распоряжении № 360-р.
Примеры отраслевых объектов КИИ:
● Энергетика:
o АСУ ТП электросетей;
o Системы диспетчеризации станций.
● Транспорт:
o Управление движением поездов;
o Авиадиспетчерские системы.
● Связь:
o Центры связи;
o Системы маршрутизации сетевого трафика.
Включение системы в 360-р не означает автоматическую значимость. Решение о значимости принимается после оценки последствий по Постановлению № 127.
Экспертная оценка необходима для систем, которые не входят в перечень, но могут иметь критическое влияние на инфраструктуру.
Шаг 2. Формирование внутреннего перечня объектов КИИ
После сопоставления с перечнем комиссия формирует внутренний список объектов КИИ, подлежащих категорированию.
Основные принципы:
● Включаются только значимые системы, соответствующие отраслевому перечню.
● Обязательно документировать, почему одни системы включены, а другие — исключены.
Примеры включения:
● Энергетика: АСУ ТП подстанций и диспетчерские системы.
● Транспорт: Системы управления движением поездов и авиадиспетчерские системы.
● Связь: Центральные узлы передачи данных.
Примеры исключения без обоснования: бухгалтерские системы, локальные офисные приложения.
Шаг 3. Оценка последствий по Постановлению № 127
На этом этапе комиссия оценивает возможные последствия инцидента для КИИ:
● Социальные — например, перебои в работе транспортных систем.
● Экономические — остановка энергосети или телеком-сервисов.
● Политические — нарушение работы критических коммуникаций.
● Экологические — аварии на промышленных объектах.
Экспертное заключение особенно важно для объектов, не включённых в перечень 360-р, но имеющих потенциально значимое влияние.
На основе оценки присваивается категория значимости КИИ, либо фиксируется решение об отсутствии необходимости её присвоения.
Шаг 4. Оформление результатов и направление во ФСТЭК
После завершения процедуры:
1. Формируется акт категорирования КИИ.
2. Руководитель организации утверждает документ.
3. Сведения направляются во ФСТЭК России в течение 10 рабочих дней, независимо от присвоения категории.
Статья 7 Федерального закона № 187-ФЗ связывает процедуру присвоения категории с проверкой правильности категорирования по отраслевым перечням.
Практические рекомендации по категорированию КИИ
1. 360-р — фильтр отбора объектов КИИ.
2. ПП № 127 — определяет категорию значимости после оценки последствий.
3. Использовать экспертные заключения для систем вне перечня.
4. Избегать типичных ошибок:
o Использование 360-р как готовой таблицы категорий.
o Игнорирование перечней и оценка только по критическим процессам.
o Включение всех систем без обоснования.
o Отсутствие документации о причинах включения/исключения систем.
Вывод: Распоряжение № 360-р применяется на старте процедуры категорирования, а Постановление № 127 — на этапе оценки последствий и присвоения категории. Экспертная оценка — ключ к правомерному включению объектов КИИ.