Новые правила категорирования объектов КИИ
В конце декабря вышло постановление Правительства РФ №2360, которое вносит изменения в ПП №127 о правилах категорирования объектов критической информационной инфраструктуры (КИИ). В частности, постановление требует пересмотра категорий значимости объектов КИИ от ряда субъектов и усиливает ведомственный мониторинг. Рассмотрим подробнее все изменения.
Нововведение в составе исходных данных
Нововведение вступает в силу с 21 марта 2023 года и касается необходимости разработки перечней типовых отраслевых объектов КИИ. Такая необходимость появилась у государственных органов и юрлиц, участвующих в реализации государственной политики. Именно подведомственные им субъекты КИИ должны будут ориентироваться на типовые отраслевые объекты при категорировании и определении своих объектов КИИ.
Новые правила уведомления ФСТЭК
Первое изменение в этой части касается мониторинга актуальности и достоверности сведений об объектах КИИ. В отношении субъектов КИИ, подведомственных госорганам и юрлицам, участвующим в реализации государственной политики, осуществлять такой мониторинг теперь должны сами госорганы и юрлица. Если в рамках него выявляются нарушения, например, некорректные сроки работ по категорированию или неактуальные сведения объектов КИИ, то важно уведомить об этом ФСТЭК России – не позднее 30 дней со дня выявления нарушений.
Второе изменение касается необходимости уведомлять ФСТЭК России при изменении любых сведений об объектах КИИ. Эта необходимость появилась, например, при изменении показателей значимости или условий функционирования объектов КИИ. Как и прежде, уведомить об этом нужно в течение 20 рабочих дней.
Новые показатели значимости объектов КИИ
Новое постановление влечет за собой также необходимость перерасчета показателей критериев значимости объектов КИИ. Ниже о том, кого это коснулось в первую очередь.
1. Транспортные организации
Для них изменилась формулировка показателя социальной значимости объектов КИИ. Теперь оценка должна даваться не только объектам транспортной инфраструктуры, но и непосредственно транспортным средствам, в том числе высокоавтоматизированным. В частности, нужно оценивать возможность прекращения движения электричек, поездов или фуникулеров и т.п. в привязке к территории предоставления транспортных услуг и количеству людей, которые ими пользуются.
2. Организации, предоставляющие госуслуги или участвующие в их предоставлении
Показатель отсутствия доступа к госуслуге расширился оценкой во времени – с момента приема запроса о предоставлении услуги. Здесь были введены 3 градации недоступности в процентах от времени предоставления услуги по регламенту – менее или равно 30%, от 30 до 70% и более 70%. Раньше оценивалось только время недоступности госуслуги.
3. Организации оборонно-промышленного комплекса
Раньше показатели экономической значимости касались только случаев возникновения ущерба для государственных корпораций и компаний, ГУП и стратегических предприятий или акционерных обществ. Теперь в этот список добавились организации оборонно-промышленного комплекса. Они теперь также обязаны оценивать объекты КИИ по показателю снижения уровня дохода в процентах от среднегодового дохода за прошедшие 5 лет.
4. Юридические лица с большими отчислениями в бюджет страны
Как и раньше значимыми признаются объекты, ущерб которым может повлиять на снижение отчислений в бюджет РФ. Однако если раньше минимальный порог «входа» в значимость был равен более 0,001% от прогнозируемого годового бюджета, теперь он значительно снизился – до более 0,0003%. В отношении этого показателя важно следить за бюджетом страны - если он уменьшается, то может быть изменена и категория значимости объекта КИИ. Такой пересчет важно делать периодически, минимум раз в год. В противном случае есть вероятность, что сведения, поданные ранее во ФСТЭК России, могут стать неверными.
5. Финансовые организации
Отдельное внимание на обновление правил категорирования объектов КИИ следует обратить финансовым организациям. Ранее оценка значимости объекта производилась для случаев его возможного простоя из расчета сумм финансовых операций, осуществляемых системно-значимой кредитной или инфраструктурной организацией финансового рынка, а также оператором услуг платежной инфраструктуры или платежных систем. Теперь вводятся отдельные категории значимости для объектов КИИ на стороне центральных контрагентов (кредитных и клиринговых организаций), негосударственных пенсионных фондов, центральных депозитариев и регистраторов финансовых транзакций, а также операторов услуг информационного обмена, поддерживающих функцию кредитных организаций по осуществлению денежных переводов. В частности, к последним могут относиться дата-центры, на ресурсах которых хостятся сервисы кредитных организаций.
6. Организации, занятые в гособоронзаказе
Раньше эти организации должны были оценивать экономическую значимость объектов КИИ по показателям снижения объемов продукции государственного оборонного заказа и увеличения времени ее выпуска. Теперь формулировка последнего изменилась на увеличение времени изготовления единицы продукции, а не всего ее объема. Для организаций, осуществляющих выпуск широкого ассортимента продукции в рамках гособоронзаказа, этот показатель, пожалуй, станет наиболее сложным в подсчетах, так как придется каждый объект КИИ оценивать в привязке ко всем видам продукции, в выпуске которых он участвует.
Вместо вывода
Итак, новое постановление Правительства РФ вводит как новые показатели, так и обновляет формулировки прежних показателей, которые меняют логику их подсчета. Это значит, что всем субъектам КИИ следует пересмотреть показатели значимости, которые ранее подавались во ФСТЭК России. И в соответствии с пунктом 19 постановления Правительства №127, не позднее 20 рабочих дней со дня со дня их изменения по форме, сообщить во ФСТЭК России.
«Фактом изменения критериев значимости мы предлагаем считать дату принятия этого изменения на заседании внутренней комиссии по категорированию объектов КИИ. Поэтому времени на уведомление ФСТЭК России вполне достаточно, но заниматься этим стоит начать уже сейчас, не дожидаясь проверки регулятором. Ведь в случае изменения каких-либо сведений об объектах, проверка может завершиться штрафом для организации – вплоть до 500 тыс руб», - подытоживает Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT.
На сегодня эксперты iTPROTECT выполнили несколько десятков проектов в области категорирования и защиты объектов КИИ. Если у вас есть вопросы по пересмотру сведений в соответствии с обновленным законодательством – готовы проконсультировать или помочь в реализации проекта пересмотра категорий значимости.
Нововведение в составе исходных данных
Нововведение вступает в силу с 21 марта 2023 года и касается необходимости разработки перечней типовых отраслевых объектов КИИ. Такая необходимость появилась у государственных органов и юрлиц, участвующих в реализации государственной политики. Именно подведомственные им субъекты КИИ должны будут ориентироваться на типовые отраслевые объекты при категорировании и определении своих объектов КИИ.
Новые правила уведомления ФСТЭК
Первое изменение в этой части касается мониторинга актуальности и достоверности сведений об объектах КИИ. В отношении субъектов КИИ, подведомственных госорганам и юрлицам, участвующим в реализации государственной политики, осуществлять такой мониторинг теперь должны сами госорганы и юрлица. Если в рамках него выявляются нарушения, например, некорректные сроки работ по категорированию или неактуальные сведения объектов КИИ, то важно уведомить об этом ФСТЭК России – не позднее 30 дней со дня выявления нарушений.
Второе изменение касается необходимости уведомлять ФСТЭК России при изменении любых сведений об объектах КИИ. Эта необходимость появилась, например, при изменении показателей значимости или условий функционирования объектов КИИ. Как и прежде, уведомить об этом нужно в течение 20 рабочих дней.
Новые показатели значимости объектов КИИ
Новое постановление влечет за собой также необходимость перерасчета показателей критериев значимости объектов КИИ. Ниже о том, кого это коснулось в первую очередь.
1. Транспортные организации
Для них изменилась формулировка показателя социальной значимости объектов КИИ. Теперь оценка должна даваться не только объектам транспортной инфраструктуры, но и непосредственно транспортным средствам, в том числе высокоавтоматизированным. В частности, нужно оценивать возможность прекращения движения электричек, поездов или фуникулеров и т.п. в привязке к территории предоставления транспортных услуг и количеству людей, которые ими пользуются.
2. Организации, предоставляющие госуслуги или участвующие в их предоставлении
Показатель отсутствия доступа к госуслуге расширился оценкой во времени – с момента приема запроса о предоставлении услуги. Здесь были введены 3 градации недоступности в процентах от времени предоставления услуги по регламенту – менее или равно 30%, от 30 до 70% и более 70%. Раньше оценивалось только время недоступности госуслуги.
3. Организации оборонно-промышленного комплекса
Раньше показатели экономической значимости касались только случаев возникновения ущерба для государственных корпораций и компаний, ГУП и стратегических предприятий или акционерных обществ. Теперь в этот список добавились организации оборонно-промышленного комплекса. Они теперь также обязаны оценивать объекты КИИ по показателю снижения уровня дохода в процентах от среднегодового дохода за прошедшие 5 лет.
4. Юридические лица с большими отчислениями в бюджет страны
Как и раньше значимыми признаются объекты, ущерб которым может повлиять на снижение отчислений в бюджет РФ. Однако если раньше минимальный порог «входа» в значимость был равен более 0,001% от прогнозируемого годового бюджета, теперь он значительно снизился – до более 0,0003%. В отношении этого показателя важно следить за бюджетом страны - если он уменьшается, то может быть изменена и категория значимости объекта КИИ. Такой пересчет важно делать периодически, минимум раз в год. В противном случае есть вероятность, что сведения, поданные ранее во ФСТЭК России, могут стать неверными.
5. Финансовые организации
Отдельное внимание на обновление правил категорирования объектов КИИ следует обратить финансовым организациям. Ранее оценка значимости объекта производилась для случаев его возможного простоя из расчета сумм финансовых операций, осуществляемых системно-значимой кредитной или инфраструктурной организацией финансового рынка, а также оператором услуг платежной инфраструктуры или платежных систем. Теперь вводятся отдельные категории значимости для объектов КИИ на стороне центральных контрагентов (кредитных и клиринговых организаций), негосударственных пенсионных фондов, центральных депозитариев и регистраторов финансовых транзакций, а также операторов услуг информационного обмена, поддерживающих функцию кредитных организаций по осуществлению денежных переводов. В частности, к последним могут относиться дата-центры, на ресурсах которых хостятся сервисы кредитных организаций.
6. Организации, занятые в гособоронзаказе
Раньше эти организации должны были оценивать экономическую значимость объектов КИИ по показателям снижения объемов продукции государственного оборонного заказа и увеличения времени ее выпуска. Теперь формулировка последнего изменилась на увеличение времени изготовления единицы продукции, а не всего ее объема. Для организаций, осуществляющих выпуск широкого ассортимента продукции в рамках гособоронзаказа, этот показатель, пожалуй, станет наиболее сложным в подсчетах, так как придется каждый объект КИИ оценивать в привязке ко всем видам продукции, в выпуске которых он участвует.
Вместо вывода
Итак, новое постановление Правительства РФ вводит как новые показатели, так и обновляет формулировки прежних показателей, которые меняют логику их подсчета. Это значит, что всем субъектам КИИ следует пересмотреть показатели значимости, которые ранее подавались во ФСТЭК России. И в соответствии с пунктом 19 постановления Правительства №127, не позднее 20 рабочих дней со дня со дня их изменения по форме, сообщить во ФСТЭК России.
«Фактом изменения критериев значимости мы предлагаем считать дату принятия этого изменения на заседании внутренней комиссии по категорированию объектов КИИ. Поэтому времени на уведомление ФСТЭК России вполне достаточно, но заниматься этим стоит начать уже сейчас, не дожидаясь проверки регулятором. Ведь в случае изменения каких-либо сведений об объектах, проверка может завершиться штрафом для организации – вплоть до 500 тыс руб», - подытоживает Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT.
На сегодня эксперты iTPROTECT выполнили несколько десятков проектов в области категорирования и защиты объектов КИИ. Если у вас есть вопросы по пересмотру сведений в соответствии с обновленным законодательством – готовы проконсультировать или помочь в реализации проекта пересмотра категорий значимости.