iTPROTECT представил свой подход к категорированию объектов КИИ в соответствии с ПП N2431
В конце декабря 2021г. вышло Постановление Правительства-2431, в рамках которого у субъектов критической информационной инфраструктуры (КИИ) появилась обязанность информировать ФСТЭК России об изменении характеристик их объектов. iTPROTECT предлагает собственный подход к выполнению новых требований, включающий в себя рекомендуемую регулярность подачи сведений.
24 декабря 2021 года было опубликовано Постановление Правительства Российской Федерации № 2431 «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации». Дополнения содержат 2 пункта и затрагивают порядок и сроки уведомления субъектом КИИ ФСТЭК России об обновлении информации по объектам КИИ, принадлежащим организациям из таких государственно важных отраслей, как здравоохранение, транспорт, энергетика, оборонная промышленность и др.
В соответствии с пунктом 19.1 субъект КИИ теперь должен информировать ФСТЭК об изменениях в состоянии или статусе объекта КИИ в течение 20 дней. Полный перечень сведений, о которых должна быть проинформирована ФСТЭК России, остался неизменным и содержится в пункте 17 Постановления Правительства РФ от 8 февраля 2018 г. N 127. В частности, к ним относится информация о программно-аппаратных средствах, используемых на объекте, его категории значимости, интеграционном взаимодействии и пр.
Согласно пункту 19.2 нового Постановления с 4 января 2022 года отраслевые регуляторы обязаны вести постоянный мониторинг состояния объектов КИИ и проверять достоверность предоставленных организацией сведений. Если в результате мониторинга будут выявлены нарушения, неактуальные данные или несоблюдение сроков передачи информации это может повлечь за собой административную ответственность.
Ужесточение правил обязывает субъект КИИ производить ряд дополнительных действий: проводить регулярный мониторинг состояния объектов, вносить изменения в инструкции ответственных лиц, собирать утверждающую комиссию и прочее.
iTPROTECT предлагает свой подход к трактовке принятых дополнений и необходимых действий со стороны субъекта КИИ. В частности, что касается периодичности уведомления ФСТЭК России, то документ, содержащий перечень измененных характеристик существующего объекта КИИ (документ «Сведения») должен быть отправлен во ФСТЭК России в течение 20 дней с момента обновления и утверждения его внутренней комиссией, а не с момента изменения самих характеристик. При этом периодичность обновления этого документа в Постановлении не определена, и организация самостоятельно может устанавливать частоту проведения аудита объектов и последующего обновления документа. Перечень характеристик объекта, которые могут измениться указан в Приказе ФСТЭК России № 236.
«На мой взгляд, такой подход позволит организациям с большим количеством объектов КИИ или часто меняющимися характеристиками объектов выполнить требования Постановления в разумные сроки и с наименьшими затратами, и в конечном счете избежать ошибок и проблем в ходе проверок отраслевых регуляторов. Исходя из нашей практики, рекомендуемая периодичность проведения аудита объектов КИИ – не реже одного раза в год, т. к. в среднем у 40% объектов КИИ на крупных предприятиях за год меняются характеристики, например состав или версионность средств защиты объекта, ответственные лица и т. п.» - говорит Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT.
За свою практику компания выполнила несколько десятков проектов по защите объектов КИИ. Услугой по аудиту и обновлению сведений об объектах КИИ в соответствии с новым Постановлением уже заинтересовались 2 крупные организации из оборонной и транспортной отраслей. Для получения подробной консультации и персональных рекомендаций по соблюдению требований Постановления, отправьте запрос на marketing@itprotect.ru.