ЦБ РФ напомнил о категорировании субъектов КИИ
Разбираемся, что нужно знать о недавних письмах регулятора банкам, страховым организациям и прочим участникам рынка.
Центральный банк РФ ужесточает контроль над исполнением законодательства в области критической информационной инфраструктуры (КИИ). По информации участников рынка, в январе и феврале регулятор отправил подназорным организациям письма с уточнением важных вопросов в этой области.
В частности, в письмах говорится о необходимости пересмотреть категории значимости объектов КИИ с учётом обновлённых критериев и их значений. Обновление, о котором идёт речь, в свою очередь связано с постановлением Правительства РФ от 20.12.2022 №2360, которое ввело новые показатели значимости и усилило ведомственный мониторинг. Мы рассказывали об этом здесь.
Категорирование объектов КИИ
В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ.
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:
«Для финансовых организаций это письмо служит напоминанием о необходимости провести категорирование объектов КИИ. Сама по себе эта необходимость для них, разумеется, новостью не является — речь о ней шла весь прошлый год.
Правила категорирования прозрачно изложены в постановлении правительства №127 от 8 февраля 2018 г. В первую очередь нужно определить критические процессы — в случае банков это основная финансовая деятельность, на которую ЦБ выдаёт лицензию. Также важно не забыть про вспомогательные процессы, нарушение которых может привести к проблемам в КИИ. Например, мониторинг и управление критическими процессами или управление телеком сетями в этот список также попадают».
По требованиям Постановления, заниматься этой работой должна постоянно действующая комиссия, куда обязаны входить все ответственные лица: от руководителя субъекта КИИ до работников структурных подразделений по защите от ЧС.
Предлагаем бесплатно скачать положение о комиссии по категорированию и приказ о ее создании, разработанные iTPROTECT для любой отрасли, которой касается законодательство в области КИИ.
Определив объекты КИИ, можно переходить непосредственно к категорированию. Показатели значимости подробно описаны в том же постановлении №127. Финансовым организациям в этом списке следует обратить внимание на III раздел «Экономическая значимость».
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:
«Показатели значимости описаны понятным языком, практически не допускающим двойных толкований. Хотя в тексте есть детали, которые особенно важно не пропустить.
Например, в п.9 III раздела фигурирует такой показатель как возникновение ущерба бюджету РФ ввиду сокращения налоговых выплат из-за недополученной прибыли. Возникает вопрос: нужно ли учитывать суммы клиентских переводов, которые не дошли до бюджета по причине временной недоступности банковской инфраструктуры, обеспечивающей перевод? Отвечаем: нет, при расчете показателя оцениваются только выплаты, осуществляемые субъектом КИИ, которые оказались меньше ожидаемых из-за какого-то инцидента.
Есть и другие подобные вопросы — будем рады помочь компаниям разобраться со всеми трудностями, обращайтесь».
Защита объектов КИИ
В другом письме Центробанка, которое пришло участникам рынка в феврале, регулятор напоминает кредитным организациям, что если под их управлением находятся значимые объекты КИИ, то им необходимо привести систему безопасности в соответствие обновлённому законодательству (в том числе, для них становятся актуальными требования Указа Президента РФ от 01.05.2022 № 250, который обязывает перейти на отечественные системы безопасности).
Из ближайших действий это включает в себя:
-
разработку ОРД по защите значимых объектов КИИ (ЗОКИИ);
-
подготовку планов мероприятий по обеспечению их безопасности;
-
определение ответственного за выполнение этих планов;
-
информирование Центробанка о выполнении всех требований законодательства о КИИ;
-
создание системы защиты значимых объектов КИИ.
По практике iTPROTECT, разработка документов по защите КИИ занимает в среднем от 3 недель. В пакет входят от 10 типов документов – от модели угроз и проектной документации до разного рода инструкций и положений.
Что касается мероприятий по защите ЗОКИИ, то для их планирования важно в целом воспринять рекомендации ЦБ как необходимость создания работающей системы безопасности значимых объектов КИИ, как того требует ФСТЭК России. В связке с финансовыми организациями Центробанк будет тщательно следить за этим процессом, поэтому всем причастным организациям стоит уже сейчас начать работу в этом направлении
По практике iTPROTECT процесс обеспечения защиты КИИ делится на 8 основных этапов — от определения самих объектов и моделирования угроз, до внедрения средств защиты и выстраивания процесса сопровождения системы безопасности. Подробнее про этапы и наш подход к защите объектов КИИ можно ознакомиться на странице “Защита критической инфраструктуры“. Там же можно оставить заявку на бесплатную консультацию, если вам требуется помощь.