Обзор изменений 127 Постановления Правительства РФ
24 апреля 2019 года в действие вступила обновленная редакция одного из основных правовых актов в области безопасности критической информационной инфраструктуры Российской Федерации — правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры и их значений (Постановление Правительства № 127 от 8 февраля 2018 года).
Что же изменилось в правилах и какое значение внесенные изменения окажут на субъекты КИИ? Ответ на эти вопросы в нашем обзоре основных изменений правил категорирования и перечня критериев значимости.
Что с комиссиями по категорированию?
Довольно большое количество изменений коснулось как самих комиссий по категорированию, так и их деятельности.
С утверждением новой редакции изменился статус комиссии — она стала постоянно действующей, с установленными случаями расформирования. Это говорит о том, что субъектам необходимо заново издать приказ о назначении комиссии, уже постоянно действующей, и внести соответствующие корректировки во внутренние документы, регламентирующие действие этой самой комиссии.
Состав комиссии теперь не ограничивается категориями работников, указанными в правилах категорирования — членом комиссии может стать любой работник субъекта КИИ по решению руководителя. Стало возможным создание отдельных комиссий в филиалах и представительствах субъекта КИИ. Такие комиссии хоть и должны контролироваться основной комиссией субъекта, но наверняка поспособствуют ускорению процесса категорирования в крупных организациях с большим количеством филиалов и представительств.
Новые особенности категорирования
Рассматривая изменения, затронувшие процессы определения объектов КИИ, подлежащих категорированию, и непосредственно категорирования объектов КИИ, стоит отметить, что изменения правил категорирования в большей степени направлены на конкретизацию отдельных моментов, которые вызывали вопросы у субъектов КИИ.
Так, для каждого из объектов КИИ необходимо для всех критериев значимости определить значение показателей или обосновать их неприменимость. Вместе с тем, если объекту КИИ в процессе категорирования присваивается первая категория значимости по какому-либо критерию, необходимость рассчитывать показатели по остальным критериям для такого объекта отпадает. Весьма логичный шаг со стороны регулятора, позволяющий субъекту сократить время и ресурсы на категорирование значимого объекта и не оценивать его по всем 14 критериям.
В ходе своей работы комиссии больше не придется анализировать уязвимости, которые могут привести к возникновению компьютерных инцидентов — достаточно проанализировать угрозы безопасности. Непосредственно при анализе возможных действий нарушителя и существующих угроз безопасности информации комиссия должна рассматривать наихудшие сценарии компьютерных атак, приводящих к максимально возможному показателю значимости нанесенного ущерба. Также, при оценке масштаба последствий, необходимо учитывать зависящие друг от друга объекты КИИ и критические процессы и определять совокупный ущерб.
Направление сведений регулятору
Новая редакция правил категорирования упрощает процесс направления перечня объектов, подлежащих категорированию, а также актов категорирования объектов регулятору.
Все объекты КИИ, подлежащие категорированию, в том числе объекты филиалов и представительств, теперь допускается включать в один перечень, аналогично и с актом категорирования — все объекты КИИ указываются в одном акте. Более того, перечень информации, указываемой непосредственно в акте категорирования, сократили до сведений о самих объектах и присвоенных им категорий значимости (или сведений об отсутствии необходимости присвоения категории), однако, набор сведений об объекте КИИ, направляемый вместе с актом категорирования, не уменьшился. Увеличили и сроки направления обоих документов регулятору — теперь они составляют 10 рабочих дней со дня утверждения.
Что касается процесса предоставления сведений о вновь создаваемых субъектом объектов КИИ, он разделен на два этапа: первая часть сведений (сведения об объекте, о субъекте, о взаимодействии объекта с сетями электросвязи, о категории значимости) направляется регулятору после утверждения требований к объекту, вторая часть (остальные сведения) — уже после ввода объекта в эксплуатацию, срок предоставления сведений в обоих случаях составляет 10 рабочих дней.
Крайний срок утверждения перечня объектов
До 1 сентября текущего года все субъекты КИИ, являющиеся государственными органами и учреждениями, обязаны утвердить перечень объектов КИИ, подлежащих категорированию. Юридическим лицам и индивидуальным предпринимателям указанный срок установлен в качестве рекомендуемого.
Пересмотр категорий значимости
В дополнение к плановому пересмотру субъектом категорий значимости объектов КИИ раз в 5 лет добавили новое условие пересмотра: изменение показателей критериев значимости объектов КИИ или их значений.
С учетом того, что новая редакция рассматриваемого постановления как раз предусматривает изменение значений критериев значимости, субъектам, которые осуществили категорирование до 24 апреля 2019 г., необходимо пересмотреть результаты присвоения категорий объектам КИИ и, в случае, если категория какого-либо объекта изменится, уведомить регулятора.
Как изменились значения показателей критериев значимости?
Для большинства из показателей минимальные пороговые значения уменьшились, что может сказаться на повышении категории значимости объектов КИИ.
Так, для второго показателя, связанного с объектами обеспечения жизнедеятельности населения и оцениваемого по количеству людей, условия жизни которых могут быть нарушены, минимальный порог третьей категории был уменьшен с 50 до 2 человек. Иными словами, если от объекта КИИ зависят условия жизнедеятельности хотя бы 2 человек, такому объекту присваивается третья категория значимости. Аналогичные изменения коснулись большинства из 14 установленных показателей.
Помимо изменения значений, изменения коснулись самих показателей и их определений. Так, регулятор объяснил, что понимает под «прекращением или нарушением функционирования объектов жизнедеятельности населения», «стратегическим акционерным обществом» и «вредными воздействиями на окружающую среду».
Подводя итог, хочется отметить зародившуюся положительную тенденцию, заключающуюся в уменьшении количества спорных моментов положения, связанных с неоднозначностью их трактовок субъектами. Вместе с тем, субъектам КИИ добавилось и несколько новых «забот», таких как пересмотр результатов уже осуществлённого категорирования и ограничение сроков на утверждение перечня объектов КИИ, подлежащих категорированию.
Если вам необходимо осуществить пересмотр категорий значимости или провести процедуру категорирования для ваших объектов КИИ, специалисты Акрибии помогут вам разобраться со всеми нюансами.