категорирование объектов критической информационной инфраструктуры что это
Частые вопросы про безопасность КИИ и 187-ФЗ
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Федеральный закон вступает в силу с 1 января 2018 года
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;
значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Сколько категорий значимости установлено?
Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья.
Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Документы по обеспечению безопасности критической информационной инфраструктуры
Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127
| 240 КБ | 28227 | |
| 407 КБ | 6517 |
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 8 февраля 2018 г. N 127
ОБ УТВЕРЖДЕНИИ ПРАВИЛ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, А ТАКЖЕ ПЕРЕЧНЯ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ИХ ЗНАЧЕНИЙ
(с изменениями от 13 апреля 2019 г.)
В соответствии с пунктом 1 части 2 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» Правительство Российской Федерации п о с т а н о в л я е т:
1. Утвердить прилагаемые:
Правила категорирования объектов критической информационной инфраструктуры Российской Федерации;
перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
2. Финансирование расходов, связанных с реализацией настоящего постановления государственными органами и государственными учреждениями, осуществляется за счет и в пределах бюджетных ассигнований, предусмотренных соответствующим бюджетом на обеспечение деятельности субъектов критической информационной инфраструктуры.
от 8 февраля 2018 г. N 127
(в ред. постановления Правительства
от 13 апреля 2019 г. N 452)
ПРАВИЛА
КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
5. Категорирование включает в себя:
а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
6. Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.
Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
В случае если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.
В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.
8. В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.
Для создаваемого объекта критической информационной инфраструктуры, указанного в абзаце первом настоящего пункта, категория значимости может быть уточнена в ходе его проектирования.
9. Для объектов, принадлежащих одному субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим другому субъекту критической информационной инфраструктуры, категорирование осуществляется на основе исходных данных, представляемых субъектом критической информационной инфраструктуры, которому принадлежит технологическое и (или) производственное оборудование.
Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями.
10. Исходными данными для категорирования являются:
а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;
д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;
е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.
11. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются:
а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;
б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
11.1. По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники не указанных в пункте 11 настоящих Правил подразделений, в том числе финансово-экономического подразделения.
11.2. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах.
Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.
11.3. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
б) ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.
12. В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
13. Комиссию по категорированию возглавляет руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо.
14. Комиссия по категорированию в ходе своей работы:
а) определяет процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей;
г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;
ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение
об отсутствии необходимости присвоения им категорий значимости.
14.1. При проведении работ, предусмотренных подпунктами «г» и «д» пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
14.2. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом «е» пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.
14.3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом «е» пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).
Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.
16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры.
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
17. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:
а) сведения об объекте критической информационной инфраструктуры;
б) сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;
в) сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;
г) сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;
д) сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии);
е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз;
ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры либо сведения об отсутствии таких последствий;
з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием;
и) организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер.
18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Новые правила заполнения платежных поручений с 1 октября 2021 года
C 1 октября 2021 года начинают действовать новые правила заполнения платёжных поручений. Изменения внесли приказом Минфина от 14 сентября 2020 года № 199н. Рассказываем, как теперь заполнять платёжки.
Основания платежа
В поле «106» c основанием платежа значения «ТР», «ПР», «АП», «АР» больше использовать нельзя. При платежах, не связанных с налогами и сборами, таможенными сборами и пошлинами, поле «106» оставляйте пустым — тут изменений нет. При перечислении текущих налоговых платежей указывайте «ТП». При перечислении недоимки, пеней и штрафов в поле «106» вписывайте «ЗД».
Если в поле «106» указано значение «ЗД», обязательно нужно заполнить поле «108» — внести реквизиты документов. Например:
Сначала указывайте буквенный код вида документа, а потом без пробелов — номер документа. И не забывайте указать дату документа — основания платежа в поле «109».
Важно! Номер должен строго соответствовать значениям и количеству знаков, указанным в документе.
Продолжают действовать коды:
Статус плательщика
Перестают действовать статусы:
В поле «101» (статус составителя поручения) значение «13» (плательщик сборов, страховых взносов и иных платежей, администрируемых налоговыми органам) нужно использовать следующим плательщикам:
Налоговые агенты по-прежнему указывают статус «02».
Будьте внимательны при формировании платёжек и не забудьте изменить шаблоны для их заполнения.
Проблемные вопросы процедуры категорирования объектов КИИ. Часть 2
Автор: Константин Саматов, руководитель направления Аналитического центра УЦСБ
Несколько слов о том, что такое категорирование
Определение термина «категорирование» содержится в ч. 1 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Под «категорированием» понимается установление соответствия объекта критической информационной инфраструктуры (далее по тексту – КИИ) критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.
Следует отметить, что Правила категорирования определяют именно процедуру категорирования и не дают толкование дефинициям «объект КИИ» и (или) «субъект КИИ», т.е. содержат нормы процессуального, а не материального права.
Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.
Проведение категорирования
Схематично процедуру категорирования можно представить в следующем виде:
Рисунок 1 – Процедура категорирования
Рассмотрим процедуру категорирования более подробно:
Этап 1. Формирование комиссии по категорированию.
Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:
Кто должен возглавлять комиссию по категорированию?
Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.
Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?
Постановлением Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», Правила категорирования были дополнены пунктом 11.1. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, в том числе работники финансово-экономического подразделения».
Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.
Ранее уже упоминавшееся Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 дополнило Правила категорирования пунктом 11.2. следующего содержания: «По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует и контролирует деятельность комиссий по категорированию».
На практике, ранее существовавшая проблема с необходимостью создания больших (по количеству участников) комиссий, теперь трансформировалась в проблему управления территориально распределенными комиссиями и их контроля. Во избежание конфликтов между комиссией по категорированию субъекта КИИ и комиссиями по категорированию в филиалах (представительствах), связанных со сферами ответственности, по мнению автора, целесообразно регламентировать функциональные обязанности, полномочия и ответственности в локальном нормативном акте, например, регламенте «по работе комиссий по категорированию».
Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.
В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:
а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.
б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;
То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.
В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.
Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.
Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.
В связи с этим возникают разные подходы к выявлению критических процессов:
По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.
Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.
На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:
Субъекты КИИ присваивают одну из категорий значимости объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий. Иными словами, можно говорить о том, что существует два вида объектов КИИ: «значимые» и «не значимые», а значимые объекты КИИ имеют три категории.
2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.
3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?
В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.
При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).
В то же время, согласно пп. «д» п. 5 Правил, оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ производится в соответствии с перечнем показателей критериев значимости, и никак иначе.
Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.
Этап 4. Подготовка итоговых документов по результатам категорирования.
По итогам своей работы, комиссия по категорированию подготавливает два документа:
1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.
2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.
Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.
Сроки категорирования
Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» на субъектов КИИ, государственных органов и государственных учреждений, возложена обязанность утвердить перечень объектов КИИ, подлежащих категорированию до 1 сентября 2019 года. Таким образом, указанные субъекты КИИ обязаны завершить процедуру категорирования до 1 сентября 2020 года.
Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.
Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.
При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.
Действующее законодательство не предусматривает обязанность субъекта по направлению измененного перечня объектов КИИ, однако, по мнению автора, во избежание претензий регулятора, целесообразно подготовить новую редакцию перечня, пояснительную записку с приложением приказов о вводе в эксплуатацию (выводе из эксплуатации) объекта КИИ и направить весь этот комплект документов регулятору совместно с актами категорирования.
__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019