Наша работа - Ваша уверенность

Категорирование КИИ по-новому

Категорирование КИИ по-новому

20 декабря 2022 года Правительство РФ подписало постановление № 2360 «Об изменениях правил категорирования объектов критической информационной инфраструктуры». Изменения вносятся в постановление Правительства РФ от 08.02.2018 года № 127.  
Мы не можем обойти этот вопрос и подготовили краткий обзор изменений как в тексте правил, так и в самих критериях оценки значимости.

Что поменялось

Дополнился п.10 правил. В нем появился подпункт «ж», что расширило исходные данные для категорирования:

ж) перечни типовых отраслевых объектов критической информационной инфраструктуры, которые могут формироваться государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (при наличии).

Теперь, согласно изменению пунктов 19(1) – 19 (3) правил, сведения о категории значимости или ее отсутствии должны включать в себя полную информацию об объекте КИИ. Перечень этой информации представлен в п.17.

Сами показатели критериев значимости также видоизменились. В третьем пункте перечня критериев добавлена формулировка «транспортных средств, в том числе высокоавтоматизированных транспортных средств».

Было
3. Прекращение 1 или нарушение функционирования 2 объектов транспортной инфраструктуры, оцениваемые:
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)
Стало
3. Прекращение 1 или нарушение функционирования 2 объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств, оцениваемые:
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)

Это значит, что этот пункт теперь распространяется на транспорт с возможностью беспилотного управления.
 
Расширилась формулировка в 8 строке перечня показателей категории значимости.

Было
8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)
Стало
8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)

Теперь он распространяется на предприятия из реестра организаций оборонно-промышленного комплекса.
 
Стали жестче диапазоны оценки ущерба бюджету РФ (п.9 перечня) и если раньше объект КИИ согласно этому показателю относился к III категории, то теперь относится к I.

Показатель
9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)
Было: более 0,001, но менее или равно 0,05 более 0,05, но менее или равно 0,1 более 0,1
Стало: более 0,0003, но менее или равно 0,0006 более 0,0006, но менее или равно 0,001 более 0,001

В 10 строке показателей категории значимости тоже произошло ужесточение диапазонов в отношении банковского сектора.

Показатель
10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений)
Было: более 3, но менее или равно 70 более 70, но менее или равно 120 более 120
Стало: менее или равно 70 более 70, но менее или равно 120
более 120

Теперь эти объекты КИИ могут автоматически получить III или выше категорию значимости.
 
В формулировке подпункта б) строки 13 перечня критериев теперь не упоминаются работы, услуги.

Было
13. Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:

а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции);

б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции).

Стало
13. Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:

а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции);

б) в увеличении времени выпуска продукции с заданным объемом (процентов установленного времени выпуска продукции).

Новое

Теперь разберем новые пункты и подпункты в постановлении.
 
В 5 строку перечня критериев значимости добавился новый подпункт:

Было
5. Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)
Стало
5. Отсутствие доступа к государственной услуге, оцениваемое:

а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)

б) во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)

Это означает, что отсчет времени неоказания услуги начинается с момента запроса о её предоставлении.
 
Новые пункты 10(1) – 10(5) в перечене критериев значимости. Они затрагивают экономический сектор, включая страховые организации и негосударственные пенсионные фонды. Тем самым регулятор расширяет показатели критериев значимости для этих субъектов КИИ.
 
 

Что делать дальше?

    1. Проведите заново категорирование ОКИИ с учетом обновлений.
    2. Возьмите за правило актуализировать сведения об ОКИИ и своевременно направлять их во ФСТЭК России. Напомним сроки: категорирования впервые – в срок не более одного года со дня утверждения перечня ОКИИ; пересмотр категории ОКИИ – не реже одного раза в 5 лет; изменения внутри организации или в связи с обновлением законодательства – осуществить пересмотр показателей критериев значимости и в течении 20 дней направить сведения во ФСТЭК России.
    3. Подготовьтесь к проверкам сведений об ОКИИ со стороны регулятора.

  
Если вы впервые сталкиваетесь с законодательством в сфере КИИ, то рекомендуем прочесть статьи «187-ФЗ. Что нужно знать.» и «187-ФЗ. Категорирование объектов КИИ.»
 
Также предлагаем пройти экспресс – проверку по категории значимости ваших объектов КИИ. По результату прохождения мы свяжемся с вами, чтобы помочь разобраться.

Связанные материалы

(Блог) 187-ФЗ. Что нужно знать.
(Блог) 187-ФЗ. Категорирование объектов КИИ.
(Блог) Защита объектов КИИ
(Защита информации) КИИ . Проверка на соответствие норм защищенности критической информационной инфраструктуры (187-ФЗ)
(Словарь терминов ИБ) КИИ
(Словарь терминов ИБ) ФСТЭК
(Словарь терминов ИБ) Объекты КИИ
Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Популярные новости
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Защита объектов КИИ
Защита объектов КИИ
Запрет на закупки иностранного ПО
Запрет на закупки иностранного ПО
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять