16 апреля 2019 года было опубликовано Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее по тексту – ПП № 127). Постановления Правительства вступают в силу по истечении семи дней после официального опубликования, следовательно, изменения в ПП №127 вступили в силу 24 апреля 2019 года.
В соответствии с изменениями, государственные органы и учреждения в срок до 1 сентября 2019 г должны утвердить перечни объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию. Для юридических лиц и индивидуальных предпринимателей этот срок носит рекомендательный характер.
Из основных нововведений правил категорирования объектов КИИ можно выделить следующие:
- теперь достаточно лишь одного показателя критериев значимости, по которому объект КИИ соответствует высшей 1 категории значимости (при наличии такой категории по всем остальным показателям расчёты не проводятся);
- состав комиссии по категорированию больше не ограничен перечнем п.11 ПП №127. По решению руководителя в неё можно включить любого работника предприятия;
- филиалы и представительства теперь тоже могут иметь свои отдельные комиссии по категорированию на местах, подконтрольный основной комиссии субъекта КИИ;
- комиссия по категорированию отныне действует постоянно и при создании любого нового объекта КИИ должна проводить оценку необходимости его категорирования;
- акт о результатах категорирования может быть общим для всех объектов КИИ;
- пересмотр категории объектов КИИ должен осуществляться не только раз в 5 лет, но и в случае изменения показателей критериев значимости.
Постановление Правительства РФ от 13.04.2019 № 452 вносит изменения и в сами показатели критериев значимости, что как раз-таки ведёт к пересмотру субъектами КИИ уже присвоенных категорий объектов КИИ. Если сведения о результатах категорирования уже были направлены во ФСТЭК России, то комиссия по категорированию должна провести пересмотр установленных категорий значимости (решений об отсутствии необходимости присвоения категории), закрепив результаты актом. В случае изменения у какого-либо объекта КИИ категории значимости необходимо направить сведения во ФСТЭК России.
Опубликованный приказ не имеет особых отличий от текста проекта приказа, доработанного по итогам обсуждения. Обзор проекта приказа можно прочитать в обзоре изменений законодательства ИБ за февраль 2019 г. Анализ изменений представлен в таблице.
Сведения об ОКИИ | было | стало |
Наименование объекта | + |
+ |
Адреса размещения объекта, в том числе адреса обособленных подразделений субъекта КИИ, в которых размещаются сегменты распределенного объекта | + |
+ |
Критические процессы, которые обеспечиваются объектом | + | - |
Тип объекта (ИС, АСУ,ИТКС) | - | + |
Информация о структурном подразделении, ответственном за обеспечение безопасности значимых объектов, и его руководителе или информация о специалисте, ответственного за обеспечение безопасности значимых объектов | + |
+ |
ИНН субъекта и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта | - | + |
Тип доступа к сети электросвязи (проводной, беспроводной), протоколы взаимодействия | + | + |
Используемые технологии доступа к сети электросвязи | + | - |
ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта | - | + |
Наименования программно-аппаратных средств и их количество | + |
+ |
Применяемые средства защиты информации или сведения об отсутствии средств защиты информации | + | + |
Ущерб, который может быть причинен в результате возникновения компьютерных инцидентов, или обоснование отсутствия возможности причинения ущерба | + | - |
Категория значимости, которая присвоена объекту | + | + |
Информация о неприсвоении объекту ни одной из таких категорий | - | + |
Полученные значения по каждому из показателей критериев значимости и обоснование или информация о неприменимости показателя к объекту с обоснованием | + |
+ |
Пояснения к таблице: ИС – информационная система, АСУ – автоматизированная система управления, ИТКС – информационной-телекоммуникационная сеть.
Остановимся поподробнее на изменениях в составе мер по обеспечению безопасности значимых объектов КИИ. Все меры, имеющие номер 0 и касающиеся организационно-распорядительной документации, больше не требуют внедрения и разработки конкретных политик и переформулированы как «регламентация правил и процедур...». На рисунке ниже оранжевым цветом выделены меры, исключенные из базового набора мер для соответствующей категории значимого объекта, а зелёным – добавленные.
С 15 апреля по 29 апреля 2019 г. прошли общественные обсуждения Проекта Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)».
Законопроект предусматривает введение административной ответственности за несоблюдение субъектами КИИ законодательства в области обеспечения безопасности объектов КИИ. В таблице приведена сводка предлагаемых административных штрафов за нарушения.
Лицо | Административный штраф | За что? |
Должностное лицо | 10 000 руб. – 50 000 руб. |
|
10 000 руб. – 40 000 руб. |
| |
20 000 руб. – 50 000 руб. |
| |
Юридическое лицо |
50 000 руб. – 100 000 руб. |
|
150 000 руб. – 200 000 руб. |
| |
100 000 руб. – 200 000 руб. |
| |
100 000 руб. – 500 000 руб. |
|