Согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.
Количество объектов КИИ, зависит от решения самих организаций. Каждому объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории. У субъекта КИИ может не быть объектов КИИ, подлежащих категорированию или каждый объект КИИ может быть незначимым. Более подробно есть у Евгения Царева.
Итак, у вас есть "Акт категорирования объекта КИИ", который подписан членами комиссии и утвержден руководителем субъекта КИИ. Нужно защищаться, и вопрос возникает нужны ли сертифицированные продукты или нет.
Самый простой случай - нет объектов КИИ или они все незначимые - никаких требований нет у правительства или ФСТЭК к ним, поэтому вы защищаете свою компанию как обычно, любыми доступными средствами соблюдая due diligence и due care. То есть сертификацию никто не требует.
Рассмотрим самый сложный случай: вас угораздило найти у себя значимый объект КИИ, тогда нужно читать 239 приказ ФСТЭК или полное название: приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В 28 пункте 239 приказа написано, что есть два способа оценки соответствия продукта: сертификация и испытания (приемка). То есть снова сертифицированные устройства, такие как, МСЭ или СОВ не требуются даже для значимых объектов КИИ. Достаточно провести испытания, которые, вы наверняка и так проводите во время пилота оборудования и подписать акт о проведенных испытаниях.
