Формирование перечня объектов КИИ в финансовом секторе

Тема критической информационной инфраструктуры (КИИ) в последнее время постепенно набирает обороты. Всё активнее публикуются различные нормативно-правовые акты в данной области, в том числе устанавливающие сроки проведения определенных мероприятий или описывающие меры наказания за нарушение безопасности объектов КИИ.

Как известно, в соответствии со ст. 2 Федерального закона N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» к субъектам КИИ относятся государственные учреждения и российские юридические лица, которым принадлежат информационные системы и автоматизированные системы управления, функционирующие в различных сферах, в том числе в банковской, и в иных областях финансового рынка.

В свою очередь п. 3 Постановления Правительства РФ N 452 рекомендует субъектам КИИ — российским юридическим лицам и (или) индивидуальным предпринимателям — утвердить до 1 сентября 2019 г. перечень объектов КИИ, подлежащих категорированию. Как легко заметить, на выполнение данной рекомендации (т.е. на реализацию всех необходимых действий для утверждения перечня объектов) остается менее месяца.

Прежде чем утвердить данный перечень, необходимо выполнить ряд мероприятий, описанных в п. 5 Постановления Правительства РФ N 127 и включающих в себя:

• создание комиссии по категорированию объектов КИИ;
• определение процессов в рамках осуществления видов деятельности субъекта КИИ;
• выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
• определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
• формирование перечня объектов;
• согласование перечня объектов с отраслевым регулятором;
• утверждение перечня объектов руководителем субъекта КИИ;
• в течение 10 рабочих дней после утверждения перечень — отправка во ФСТЭК.

Далее субъект КИИ обязан в течение одного года провести процедуру категорирования. В рамках данного мероприятия должна быть осуществлена оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов для каждого из объектов КИИ. Такая оценка проводится в соответствии с показателями критериев значимости, указанными в Постановлении Правительства РФ N 127. На основе результатов проведенной оценки каждому из объектов КИИ присваивается одна из категорий значимости (1 — максимальная, 3 — минимальная) либо принимается решение об отсутствии необходимости присвоения им одной из категорий значимости.

По итогам категорирования для каждого объекта КИИ оформляется акт категорирования, форма которого утверждена Приказом ФСТЭК России N 236. Данный акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ. После чего в течение 10 рабочих дней этот документ должен быть направлен во ФСТЭК.

Стоит отметить, что процедуру категорирования обязана провести каждая организация, попадающая под действие 187-ФЗ, даже если ее руководство уверено в том, что в состав ее объектов не входят значимые объекты КИИ. Процедура категорирования как раз и предназначена для формального определения категории значимости объектов КИИ либо для установления факта, что обследуемому объекту КИИ не может быть присвоена ни одна из категорий.

Даже поверхностное рассмотрение стандартной банковской информационной инфраструктуры показывает, что любой банк обладает объектами КИИ — это, как минимум, типовые объекты банковской инфраструктуры: АБС, АРМ КБР-Н и ДБО.

На момент написания данной статьи к принятию готовится Проект Федерального закона о внесении изменений в КоАП РФ в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ. Помимо этого с 1 января 2018 года в силу вступил Федеральный закон N 194-ФЗ, вносящий изменения в УК РФ, а именно дополняющий главу 28 УК РФ статьей 274.1 «Неправомерное воздействие на КИИ РФ». В зависимости от нарушения может последовать наказание как в виде штрафа (начиная от 50 тыс. руб. и заканчивая 1 млн руб. либо размером заработной платы осужденного за 3 года), так и в виде принудительных работ сроком до 5 лет или лишения свободы сроком до 10 лет.

Таким образом, на данный момент вступило в силу большое количество нормативно-правовых актов, регулирующих отношения в области КИИ (либо готовятся к публикации и вступлению в силу). В соответствии с определением субъекта КИИ все банковские, кредитные и прочие организации, функционирующие в финансовой сфере, попадают под действие данных нормативных документов. Пока что обязательства по срокам утверждения перечня объектов КИИ, подлежащих категорированию, выставлены только для государственных организаций (до 1 сентября 2019 г.). Для остальных же юридических лиц данный срок носит чисто рекомендательный характер. Однако, так будет не всегда, и рано или поздно со стороны регулятора последуют новые документы, которые обяжут остальные юридические лица приступить к категорированию объектов КИИ. Есть основания предполагать, что к началу 2020 года регулятор выдвинет окончательный срок, когда необходимо будет утвердить данный перечень. По нашему опыту выполнение всего ряда мероприятий, описанного выше, занимает как минимум 2−3 месяца (в зависимости от размера организации). Таким образом, о проведении категорирования есть смысл начать заботиться уже сейчас.