Этот сайт использует файлы Cookies.
Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы разрешаете их использование. Подробнее
+7 495 786-34-93
+7 495 120-64-46
 

ЦБ РФ напомнил о категорировании субъектов КИИ

ЦБ РФ напомнил о категорировании субъектов КИИ

Разбираемся, что нужно знать о недавних письмах регулятора банкам, страховым организациям и прочим участникам рынка.

Центральный банк РФ ужесточает контроль над исполнением законодательства в области критической информационной инфраструктуры (КИИ). По информации участников рынка, в январе и феврале регулятор отправил подназорным организациям письма с уточнением важных вопросов в этой области.

В частности, в письмах говорится о необходимости пересмотреть категории значимости объектов КИИ с учётом обновлённых критериев и их значений. Обновление, о котором идёт речь, в свою очередь связано с постановлением Правительства РФ от 20.12.2022 №2360, которое ввело новые показатели значимости и усилило ведомственный мониторинг. Мы рассказывали об этом здесь.

Категорирование объектов КИИ

В январском письме Центральный Банк призвал поднадзорные организации провести повторное категорирование субъектов КИИ и до 31 марта 2023 отчитаться о статусе работ.

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Для финансовых организаций это письмо служит напоминанием о необходимости провести категорирование объектов КИИ. Сама по себе эта необходимость для них, разумеется, новостью не является — речь о ней шла весь прошлый год.

Правила категорирования прозрачно изложены в постановлении правительства №127 от 8 февраля 2018 г. В первую очередь нужно определить критические процессы — в случае банков это основная финансовая деятельность, на которую ЦБ выдаёт лицензию. Также важно не забыть про вспомогательные процессы, нарушение которых может привести к проблемам в КИИ. Например, мониторинг и управление критическими процессами или управление телеком сетями в этот список также попадают».

По требованиям Постановления, заниматься этой работой должна постоянно действующая комиссия, куда обязаны входить все ответственные лица: от руководителя субъекта КИИ до работников структурных подразделений по защите от ЧС.

Предлагаем бесплатно скачать положение о комиссии по категорированию и приказ о ее создании, разработанные iTPROTECT для любой отрасли, которой касается законодательство в области КИИ.

Определив объекты КИИ, можно переходить непосредственно к категорированию. Показатели значимости подробно описаны в том же постановлении №127. Финансовым организациям в этом списке следует обратить внимание на III раздел «Экономическая значимость».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Показатели значимости описаны понятным языком, практически не допускающим двойных толкований. Хотя в тексте есть детали, которые особенно важно не пропустить.

Например, в п.9 III раздела фигурирует такой показатель как возникновение ущерба бюджету РФ ввиду сокращения налоговых выплат из-за недополученной прибыли. Возникает вопрос: нужно ли учитывать суммы клиентских переводов, которые не дошли до бюджета по причине временной недоступности банковской инфраструктуры, обеспечивающей перевод? Отвечаем: нет, при расчете показателя оцениваются только выплаты, осуществляемые субъектом КИИ, которые оказались меньше ожидаемых из-за какого-то инцидента.

Есть и другие подобные вопросы — будем рады помочь компаниям разобраться со всеми трудностями, обращайтесь».

Защита объектов КИИ

В другом письме Центробанка, которое пришло участникам рынка в феврале, регулятор напоминает кредитным организациям, что если под их управлением находятся значимые объекты КИИ, то им необходимо привести систему безопасности в соответствие обновлённому законодательству (в том числе, для них становятся актуальными требования Указа Президента РФ от 01.05.2022 № 250, который обязывает перейти на отечественные системы безопасности).

Из ближайших действий это включает в себя:

  • разработку ОРД по защите значимых объектов КИИ (ЗОКИИ);

  • подготовку планов мероприятий по обеспечению их безопасности;

  • определение ответственного за выполнение этих планов;

  • информирование Центробанка о выполнении всех требований законодательства о КИИ;

  • создание системы защиты значимых объектов КИИ.

По практике iTPROTECT, разработка документов по защите КИИ занимает в среднем от 3 недель. В пакет входят от 10 типов документов – от модели угроз и проектной документации до разного рода инструкций и положений.

Что касается мероприятий по защите ЗОКИИ, то для их планирования важно в целом воспринять рекомендации ЦБ как необходимость создания работающей системы безопасности значимых объектов КИИ, как того требует ФСТЭК России. В связке с финансовыми организациями Центробанк будет тщательно следить за этим процессом, поэтому всем причастным организациям стоит уже сейчас начать работу в этом направлении

По практике iTPROTECT процесс обеспечения защиты КИИ делится на 8 основных этапов — от определения самих объектов и моделирования угроз, до внедрения средств защиты и выстраивания процесса сопровождения системы безопасности. Подробнее про этапы и наш подход к защите объектов КИИ можно ознакомиться на странице “Защита критической инфраструктуры“. Там же можно оставить заявку на бесплатную консультацию, если вам требуется помощь.

Хотите получать наши новости?

Подписаться
Вернуться в блог

Хотите получать наши новости?