ФСТЭК обновляет правила категорирования объектов КИИ
ФСТЭК обновляет правила категорирования объектов КИИ
С 1 сентября 2025 года могут вступить в силу два ключевых документа, касающихся безопасности критической информационной инфраструктуры (КИИ). Речь идет о проекте поправок к Постановлению Правительства №127 — правилам категорирования объектов КИИ, а также о проекте единого перечня типовых отраслевых объектов КИИ. Оба документа сейчас проходят общественное обсуждение и напрямую связаны с подготовкой к изменениям в 187-ФЗ «О безопасности КИИ». Ключевая новация — категорирование теперь должно проводиться с обязательным учетом отраслевых особенностей.
Одно из главных изменений касается самого подхода к определению объектов КИИ. Раньше организация анализировала свои критические процессы и на их основе выделяла объекты, подлежащие категорированию. Теперь на смену приходит нормативный подход. Если объект — будь то система, сеть или АСУ — указан в типовом отраслевом перечне, он автоматически подлежит категорированию. По сути, самостоятельный анализ критичности уходит в прошлое, а фокус смещается в сторону формального соответствия.
«За последние годы министерства уже разработали типовые отраслевые объекты КИИ, их объединение в единый документ — логичный шаг. Это должно обеспечить единообразие и прозрачность при определении объектов КИИ, после принятия поправки упростят работу регулятора — при проверках и спорных ситуациях ФСТЭК России будет апеллировать к единому перечню, а не к разрозненным ведомственным спискам», — объяснила Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.
Эксперт iTPROTECT также обращает внимание на новые требования к отчетности: в состав Сведений, направляемых во ФСТЭК, должны будут включаться доменные имена и IP-адреса объектов КИИ, взаимодействующих с интернетом. Это позволит регулятору отслеживать и учитывать внешние компоненты КИИ, подверженные кибератакам, чтобы своевременно выявлять потенциально уязвимые узлы и принимать превентивные меры.
Изменения касаются не только логики категорирования, но и порядка его проведения. Новый регламент обязывает учитывать отраслевые признаки значимости объектов, а также специфику расчета показателей значимости с поправкой на характер функционирования систем. То есть теперь одни и те же критерии могут применяться по-разному, с учетом специфики отрасли. Хотя такие методики в ряде отраслей уже есть — например, в энергетике, транспорте, здравоохранении, на практике они до сих пор применяются неравномерно. Сформировать единую методологическую основу — это задача на ближайшие месяцы. Без этого добиться согласованности подходов между отраслями невозможно. Поэтому актуализация методик категорирования должна произойти и на стороне профильных министерств каждой из отраслей.
Существенные изменения затронули и сами показатели критериев значимости. В транспортной сфере уточнены параметры для грузовых и пассажирских перевозок, в связи – усилены требования к устойчивости инфраструктуры. В области государственного управления расширен круг охватываемых организаций. В финансовом секторе под регулирование дополнительно попадают оператор цифрового рубля, микрофинансовые организации и бюро кредитных историй. В оборонно-промышленном комплексе теперь будет учитываться роль организации в выполнении гособоронзаказа.
Что это означает для субъектов КИИ?
После вступления поправок в силу, комиссиям по категорированию необходимо будет провести полную инвентаризацию объектов на соответствие новым типовым перечням, пересмотреть прежние результаты категорирования с учетом отраслевых методических рекомендаций и изменений показателей критериев значимости и актуализировать и направить передаваемые в ФСТЭК сведения. Времени на адаптацию немного, и чем раньше начнется работа, тем лучше.
В iTPROTECT мы продолжаем следить за изменениями законодательства и готовы помогать заказчикам с анализом объектов, пересмотром категорий и актуализацией документации по объектам КИИ.
