21 декабря 2022 г. официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 № 2360, утверждающее изменения в правила категорирования объектов КИИ и перечень показателей критериев значимости (постановление Правительства Российской Федерации от 08.02.2018 № 127).
В рамках постановления Правительство Российской Федерации вносит ряд значительных изменений, усиливающих ведомственный мониторинг и влекущих за собой необходимость выполнения субъектами КИИ ряда мероприятий.
Со дня подписания (20.12.2022) вступают в силу изменения в перечень показателей критериев значимости (изменения приведены в приложении к настоящим комментариям). Согласно пункту 21 постановления, «Субъект КИИ <…> в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий».
Следовательно, субъектам КИИ необходимо в ближайшее время провести повторное категорирование принадлежащих им объектов КИИ в соответствии с обновленными значениями и вновь введенными показателями критериев значимости.
Социальная значимость:
Показатель №3: Формулировка изменена на «Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств». Это означает необходимость применения рассматриваемых последствий реализации компьютерных инцидентов по показателю не только к объектам инфраструктуры (вокзалы, порты и т.д.), но и к транспорту – поездам, судам, самолетам и т.д.
Экономическая значимость:
Показатель № 8: формулировка изменена на «Возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием <…>». Расширение формулировки показателя распространяет его применимость на предприятия, включенные в сводный реестр организаций оборонно-промышленного комплекса (утвержден приказом Минпромторга России от 18.05.2022 № 1981, не подлежит публикации).
Показатель № 9: значительно изменены пороговые значения оценки ущерба бюджетам Российской Федерации. В соответствии с предлагаемыми изменениями, объекты КИИ, ранее получившие III категорию значимости по данному показателю, становятся объектами КИИ I категории значимости.
Показатель № 10: исключено пороговое значение для III категории значимости. Это означает, что, при возможном прекращении или нарушении проведения клиентами операций по переводу денежных средств, объекты КИИ автоматически получают III (либо выше) категорию значимости.
Показатель 13.б): формулировка изменена на «в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объемом <…>».
Добавлены следующие показатели критериев значимости:
Социальная значимость:
Показатель 5.б) – время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
Экономическая значимость:
Показатель 101 – прекращение либо нарушение проведения операций по исполнению обязательств центральным контрагентом;
Показатель 102 – прекращение либо нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
Показатель 103 – прекращение либо нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
Показатель 104 – прекращение либо нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
Показатель 105 – прекращение либо нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Требование об актуализации сведений в случае их изменения теперь распространяется на все сведения об объекте КИИ. Следовательно, подавать актуальные сведения во ФСТЭК России (по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236) необходимо в течение 20 рабочих дней в случае изменения следующих сведений:
- данные об объекте КИИ;
- данные о субъекте КИИ (в т.ч. об ответственных лицах);
- данные о взаимодействии ОКИИ с сетями электросвязи;
- данные об эксплуатантах объекта КИИ;
- данные о составе объекта КИИ, используемых СрЗИ;
- данные об актуальных УБИ объекта КИИ, категориях нарушителей, последствиях возникновения компьютерных инцидентов;
- данные о присвоенной категории значимости, результатах оценки показателей критериев значимости;
- данные о реализованных мерах по обеспечению безопасности объектов КИИ.
Мониторинг актуальности и достоверности сведений теперь также осуществляется в отношении всех сведений, указанных выше. К такому мониторингу могут привлекаться подведомственные организации. Мониторинг подведомственных организаций осуществляется соответствующими ведомствами. Актуальность и достоверность сведений может подтверждаться как заочно, так и очно («путем ознакомления с объектами КИИ по месту их нахождения»).
Срок направления нарушений, выявленных в результате мониторинга, во ФСТЭК России – не позднее 30 дней со дня их выявления.
2. Разработка перечней типовых отраслевых объектов КИИ (изменения, вступающие в силу 21.03.2023)Исходными данными для категорирования будут являться перечни типовых отраслевых объектов КИИ, которые могут формироваться гос. органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности. Разработка перечней типовых отраслевых объектов КИИ ранее анонсировалась Минцифры России. Следовательно, у каждой отрасли может появиться перечень типовых систем, которые обязательно должны входить в перечень категорируемых объектов КИИ. Вероятнее всего, при осуществлении мониторинга или государственного контроля отсутствие типовых объектов КИИ (и обоснований их отсутствия) будет считаться несоответствием Правилам категорирования.
Подведем итог: в соответствии с внесенными изменениями, у субъектов КИИ возникли обязательства по проведению ряда мероприятий по выполнению требований обновленного порядка категорирования.
В качестве первостепенных задач для всех субъектов КИИ можно выделить:
1. Проведение повторного категорирования объектов КИИ в соответствии с обновленными показателями критериев значимости (согласно требованиям пункта 21 Правил категорирования) с учетом отраслевых перечней объектов КИИ (при их издании ведомствами).
2. Актуализация сведений об объектах КИИ на постоянной основе и направление их во ФСТЭК России в течение 20 дней после изменения состава, условий функционирования объектов КИИ или возможных последствий при возникновении на объектах КИИ компьютерных инцидентов.
3. Подготовка к возможному мониторингу актуальности и достоверности сведений об объектах КИИ со стороны отраслевых регуляторов и подведомственных им организаций.
Кроме того, возникает необходимость расчета вновь принятых показателей критериев значимости и уточнение результатов категорирования для следующих субъектов КИИ:
1. Организации, осуществляющие деятельность в сфере транспорта (по показателю 3).
2. Органы, предоставляющие гос. услуги, или подведомственные гос. органам организации, участвующие в предоставлении гос. услуг (по показателю 5.б).
3. Организации оборонно-промышленного комплекса (по показателю 8).
4. Центральные контрагенты (по показателю 101).
5. Центральные депозитарии и регистраторы финансовых транзакций (по показателю 102).
6. Негосударственные пенсионные фонды (по показателю 103).
7. Страховые организации (по показателю 104).
8. Операторы услуг информационного обмена (некредитные организации, по показателю 105).
Перечень измененных и вновь введенных показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
Показатель | Значение показателя | |||
III категория | II категория | I категория | ||
I. Социальная значимость | ||||
3. | Прекращение1) или нарушение функционирования2) объектов транспортной инфраструктуры, транспортных средств, высокоавтоматизированных транспортных средств, оцениваемые: | |||
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; |
в пределах территории одного муниципального образования (численностью от 2 тыс. чел.) |
выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
б) по количеству людей, для которых могут быть недоступны транспортные услуги |
более или равно 2, | более или равно 1 000, но менее 5 000 | более или равно 5 000 | |
5. | Отсутствие доступа к государственной услуге, оцениваемое: | |||
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) |
менее или равно 24, | менее или равно 12, но более 6 | менее или равно 6 | |
б) в времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течении которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом) | менее или равно 30 | более 30, но менее или равно 70 | более 70 | |
III. Экономическая значимость | ||||
8. | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) | более или равно 1, но менее или равно 10 | более 10, но менее или равно 20 | более 20 |
9. | Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период) |
более |
более |
более |
10. | Прекращение1) или нарушение1) проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений) |
| более 70, но менее или равно 120 | более 120 |
10.1. | Прекращение1) или нарушение1) проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн. руб.) | менее 1 |
более или равно 1, но
| более или равно 10 |
10.2. | Прекращение1) или нарушение1) проведения учетных и расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. шт.) | менее 10 | более или равно 10, но менее 25 | более или равно 25 |
10.3. | Прекращение1) или нарушение1) проведения операций по выплатам, передачи и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд руб.) | более или равно 50, но менее 1000 | более или равно 1000, но менее 2000 | более или равно 2000 |
10.4. | Прекращение1) или нарушение1) проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховыми организациями, оцениваемые объемом активов (млрд. руб.) | более или равно 100, но менее 1500 | более или равно 1500, но менее 5000 | более или равно 5000 |
10.5. | Прекращение1) или нарушение1) выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся операторами услуг информационного обмена (некредитными организациями), которые оцениваются количеством заключенных договоров с кредитными организациями | более или равно 25, но менее 100 | более или равно 100 но менее 150 | более или равно 150 |
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | ||||
13. | Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое: | |||
а) в снижении объемов выпуска единицы изделия (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 0, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | |
б) в увеличении | более 0, но менее или равно 10 |
более 10, но менее | более 40 |