В обзоре изменений в области защиты критической информационной инфраструктуры за октябрь 2022 года рассмотрим: изменения в правила категорирования объектов критической информационной инфраструктуры и методические рекомендации об импортозамещении.
Изменения в правилах категорирования
Опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять регулярный мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (далее – КИИ), предоставляемых подведомственными субъектами КИИ и субъектами, осуществляющими деятельность в сфере, регулируемой ведомством. Такой мониторинг предлагается осуществлять как в формате заочного запроса сведений, так и в формате очного обследования («путем ознакомления с объектами КИИ в условиях их эксплуатации»).
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1. Показатели социальной значимости. Нижний порог по количеству людей, на которых может быть оказано негативное воздействие, увеличился с 2-3 до 10 и по численности муниципальных образований с 2 тыс. человек до 10 тыс. человек для следующих показателей:
показатели нарушения функционирования объектов обеспечения жизнедеятельности населения (показатель 2);
a. показатели нарушения транспортного сообщения (показатель 3);
b. показатель нарушения функционирования сетей связи (показатель 4).
Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или бюджету субъекта РФ и ущерба от прекращения/нарушения проведения операций финансовыми организациями.
Показатели экологической значимости. Нижний порог численности муниципальных образований, подверженных вредным воздействиям, с 2 тыс. человек увеличился до 10 тыс.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
Показатели экономической значимости, оцениваемые по уровню активов указанных далее финансовых организаций:
- прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
- прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
- прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
- прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
- прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Напомним, что согласно п.21 Правил категорирования в случае изменения показателей критериев значимости требуется пересмотр установленных категорий значимости. Это значит, что в случае утверждения проекта всем субъектам КИИ, имеющим значимые объекты КИИ, необходимо будет пересмотреть категории и актуализировать сведения о результатах категорирования.
Полная сводная таблица с отображением предлагаемых изменений в исходный перечень приведена в приложении к обзору.
Общественное обсуждение проекта завершилось 28 октября.
Импортозамещение
Вице-премьер Дмитрий Чернышенко утвердил Методические рекомендации по формированию отраслевых планов мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры РФ.
Рекомендации направлены на формирование методологических основ по подготовке отраслевых планов: их рекомендуется формировать на период до 1 января 2027 года. Допускается привлечение Отраслевых центров компетенций.
Документ содержит также рекомендации к структуре отраслевого плана, в который следует включить:
- Мероприятия по обеспечению готовности перехода заказчиков (организаций, осуществляющих закупки программного обеспечения) на преимущественное использование российского программного обеспечения (далее – ПО):
- назначение работника ведомства, ответственного за формирование и реализацию отраслевого плана (не ниже заместителя руководителя ведомства);
- формирование рабочей группы по переходу заказчиком на преимущественное использование российского ПО;
- определение перечня заказчиков в отрасли (в т.ч. являющихся субъектами КИИ и имеющих значимые объекты КИИ);
- определение факторов, препятствующих такому переходу;
- формирование функциональных и технических требований к ПО;
- определение ресурсных (финансовых) отраслевых потребностей заказчиков;
- мониторинг хода реализации отраслевого плана и т.д.
2. Отраслевые целевые показатели эффективности и сроки перехода.
Полная версия методических рекомендаций приведена в приложении к обзору.