Обеспечение безопасности КИИ. Выполнение требований 187-ФЗ

Главная - Обзор изменений законодательства КИИ за апрель 2019

Обзор изменений законодательства КИИ за апрель 2019 

16 апреля 2019 года было опубликовано Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее по тексту – ПП № 127). Постановления Правительства вступают в силу по истечении семи дней после официального опубликования, следовательно, изменения в ПП №127 вступили в силу 24 апреля 2019 года.

В соответствии с изменениями, государственные органы и учреждения в срок до 1 сентября 2019 г должны утвердить перечни объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию. Для юридических лиц и индивидуальных предпринимателей этот срок носит рекомендательный характер.

Из основных нововведений правил категорирования объектов КИИ можно выделить следующие:

  • теперь достаточно лишь одного показателя критериев значимости, по которому объект КИИ соответствует высшей 1 категории значимости (при наличии такой категории по всем остальным показателям расчёты не проводятся);
  • состав комиссии по категорированию больше не ограничен перечнем п.11 ПП №127. По решению руководителя в неё можно включить любого работника предприятия;
  • филиалы и представительства теперь тоже могут иметь свои отдельные комиссии по категорированию на местах, подконтрольный основной комиссии субъекта КИИ;
  • комиссия по категорированию отныне действует постоянно и при создании любого нового объекта КИИ должна проводить оценку необходимости его категорирования;
  • акт о результатах категорирования может быть общим для всех объектов КИИ;
  • пересмотр категории объектов КИИ должен осуществляться не только раз в 5 лет, но и в случае изменения показателей критериев значимости.

Постановление Правительства РФ от 13.04.2019 № 452 вносит изменения и в сами показатели критериев значимости, что как раз-таки ведёт к пересмотру субъектами КИИ уже присвоенных категорий объектов КИИ.  Если сведения о результатах категорирования уже были направлены во ФСТЭК России, то комиссия по категорированию должна провести пересмотр установленных категорий значимости (решений об отсутствии необходимости присвоения категории), закрепив результаты актом. В случае изменения у какого-либо объекта КИИ категории значимости необходимо направить сведения во ФСТЭК России.

19 апреля 2019 г. опубликован Приказ ФСТЭК России от 21.03.2019 № 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236». Изменения вступили в силу 30 апреля 2019 г.

Опубликованный приказ не имеет особых отличий от текста проекта приказа, доработанного по итогам обсуждения. Обзор проекта приказа можно прочитать в обзоре изменений законодательства ИБ за февраль 2019 г. Анализ изменений представлен в таблице.

Сведения об ОКИИ

 было

стало

Наименование объекта

+

+

(уточнения, что объектами являются ИС, АСУ, ИТКС)

Адреса размещения объекта, в том числе адреса обособленных подразделений субъекта КИИ, в которых размещаются сегменты распределенного объекта

+

+

(убраны примеры сегментов)

Критические процессы, которые обеспечиваются объектом

+

-

Тип объекта (ИС, АСУ,ИТКС)

-

+

Информация о структурном подразделении, ответственном за обеспечение безопасности значимых объектов, и его руководителе или информация о специалисте, ответственного за обеспечение безопасности значимых объектов

+

+

(специалист не обязательно штатный)

ИНН субъекта и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта

-

+

Тип доступа к сети электросвязи (проводной, беспроводной), протоколы взаимодействия

+

+

Используемые технологии доступа к сети электросвязи

+

-

ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта

-

+

Наименования программно-аппаратных средств и их количество

+

+

из примеров исключено производственное оборудование (исполнительные устройства)

Применяемые средства защиты информации или сведения об отсутствии средств защиты информации

+

+

Ущерб, который может быть причинен в результате возникновения компьютерных инцидентов, или обоснование отсутствия возможности причинения ущерба

+

-

Категория значимости, которая присвоена объекту

+

+

Информация о неприсвоении объекту ни одной из таких категорий

-

+

Полученные значения по каждому из показателей критериев значимости и обоснование или информация о неприменимости показателя к объекту с обоснованием

+

+

(обоснования вынесены отдельным разделом)

Пояснения к таблице: ИС – информационная система, АСУ – автоматизированная система управления, ИТКС – информационной-телекоммуникационная сеть. 

В этот же день, 19 апреля, был опубликован Приказ ФСТЭК России от 26.03.2019 № 60 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». Изменения также вступили в силу 30 апреля 2019 г, а опубликованная версия не обладает значительными отличиями от мартовского проекта приказа.

Остановимся поподробнее на изменениях в составе мер по обеспечению безопасности значимых объектов КИИ. Все меры, имеющие номер 0 и касающиеся организационно-распорядительной документации, больше не требуют внедрения и разработки конкретных политик и переформулированы как «регламентация правил и процедур...». На рисунке ниже оранжевым цветом выделены меры, исключенные из базового набора мер для соответствующей категории значимого объекта, а зелёным – добавленные.

Категории значимости

С 15 апреля  по 29 апреля 2019 г. прошли общественные обсуждения Проекта Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)».

Законопроект предусматривает введение административной ответственности за несоблюдение субъектами КИИ законодательства в области обеспечения безопасности объектов КИИ.  В таблице приведена сводка предлагаемых административных штрафов за нарушения.

Лицо

Административный штраф

За что?

Должностное лицо

10 000 руб. – 50 000 руб.

-     Нарушение порядка категорирования объектов КИИ.

-     Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ.

-     Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.

-     Непредставление или нарушение порядка либо сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ

-     Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА

10 000 руб. – 40 000 руб.

-     Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования

20 000 руб. – 50 000 руб.

-     Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

Юридическое лицо

50 000 руб. – 100 000 руб.

-     Нарушение порядка категорирования объектов КИИ.

-     Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования.

-     Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ.

-     Непредставление или нарушение порядка либо сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ

150 000 руб. – 200 000 руб.

-     Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ

 

100 000 руб. – 200 000 руб.

-     Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

100 000 руб. – 500 000 руб.

-     Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации

Изменения в области обеспечения ИБ критической информационной инфраструктуры
1