1. Главная
  2. Публикации
  3. Обзор изменений законодательства КИИ за апрель 2019

Обзор изменений законодательства КИИ за апрель 2019

16 Апреля 2019
148

16 апреля 2019 года было опубликовано Постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее по тексту – ПП № 127). Постановления Правительства вступают в силу по истечении семи дней после официального опубликования, следовательно, изменения в ПП №127 вступили в силу 24 апреля 2019 года.

В соответствии с изменениями, государственные органы и учреждения в срок до 1 сентября 2019 г должны утвердить перечни объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию. Для юридических лиц и индивидуальных предпринимателей этот срок носит рекомендательный характер.

Из основных нововведений правил категорирования объектов КИИ можно выделить следующие:

  • теперь достаточно лишь одного показателя критериев значимости, по которому объект КИИ соответствует высшей 1 категории значимости (при наличии такой категории по всем остальным показателям расчёты не проводятся);
  • состав комиссии по категорированию больше не ограничен перечнем п.11 ПП №127. По решению руководителя в неё можно включить любого работника предприятия;
  • филиалы и представительства теперь тоже могут иметь свои отдельные комиссии по категорированию на местах, подконтрольный основной комиссии субъекта КИИ;
  • комиссия по категорированию отныне действует постоянно и при создании любого нового объекта КИИ должна проводить оценку необходимости его категорирования;
  • акт о результатах категорирования может быть общим для всех объектов КИИ;
  • пересмотр категории объектов КИИ должен осуществляться не только раз в 5 лет, но и в случае изменения показателей критериев значимости.

Постановление Правительства РФ от 13.04.2019 № 452 вносит изменения и в сами показатели критериев значимости, что как раз-таки ведёт к пересмотру субъектами КИИ уже присвоенных категорий объектов КИИ.  Если сведения о результатах категорирования уже были направлены во ФСТЭК России, то комиссия по категорированию должна провести пересмотр установленных категорий значимости (решений об отсутствии необходимости присвоения категории), закрепив результаты актом. В случае изменения у какого-либо объекта КИИ категории значимости необходимо направить сведения во ФСТЭК России.

19 апреля 2019 г. опубликован Приказ ФСТЭК России от 21.03.2019 № 59 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236». Изменения вступили в силу 30 апреля 2019 г.

Опубликованный приказ не имеет особых отличий от текста проекта приказа, доработанного по итогам обсуждения. Обзор проекта приказа можно прочитать в обзоре изменений законодательства ИБ за февраль 2019 г. Анализ изменений представлен в таблице.

Сведения об ОКИИ

было

стало

Наименование объекта

+

+
(уточнения, что объектами являются ИС, АСУ, ИТКС)

Адреса размещения объекта, в том числе адреса обособленных подразделений субъекта КИИ, в которых размещаются сегменты распределенного объекта

+

+
(убраны примеры сегментов)

Критические процессы, которые обеспечиваются объектом

+

-

Тип объекта (ИС, АСУ,ИТКС)

-

+

Информация о структурном подразделении, ответственном за обеспечение безопасности значимых объектов, и его руководителе или информация о специалисте, ответственного за обеспечение безопасности значимых объектов

+

+
(специалист не обязательно штатный)

ИНН субъекта и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта

-

+

Тип доступа к сети электросвязи (проводной, беспроводной), протоколы взаимодействия

+

+

Используемые технологии доступа к сети электросвязи

+

-

ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений, в которых размещаются сегменты распределенного объекта

-

+

Наименования программно-аппаратных средств и их количество

+

+
из примеров исключено производственное оборудование (исполнительные устройства)

Применяемые средства защиты информации или сведения об отсутствии средств защиты информации

+

+

Ущерб, который может быть причинен в результате возникновения компьютерных инцидентов, или обоснование отсутствия возможности причинения ущерба

+

-

Категория значимости, которая присвоена объекту

+

+

Информация о неприсвоении объекту ни одной из таких категорий

-

+

Полученные значения по каждому из показателей критериев значимости и обоснование или информация о неприменимости показателя к объекту с обоснованием

+

+
(обоснования вынесены отдельным разделом)

Пояснения к таблице: ИС – информационная система, АСУ – автоматизированная система управления, ИТКС – информационной-телекоммуникационная сеть. 

В этот же день, 19 апреля, был опубликован Приказ ФСТЭК России от 26.03.2019 № 60 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». Изменения также вступили в силу 30 апреля 2019 г, а опубликованная версия не обладает значительными отличиями от мартовского проекта приказа.

Остановимся поподробнее на изменениях в составе мер по обеспечению безопасности значимых объектов КИИ. Все меры, имеющие номер 0 и касающиеся организационно-распорядительной документации, больше не требуют внедрения и разработки конкретных политик и переформулированы как «регламентация правил и процедур...». На рисунке ниже оранжевым цветом выделены меры, исключенные из базового набора мер для соответствующей категории значимого объекта, а зелёным – добавленные.


С 15 апреля  по 29 апреля 2019 г. прошли общественные обсуждения Проекта Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)».

Законопроект предусматривает введение административной ответственности за несоблюдение субъектами КИИ законодательства в области обеспечения безопасности объектов КИИ.  В таблице приведена сводка предлагаемых административных штрафов за нарушения.

Лицо

Административный штраф

За что?

Должностное лицо

10 000 руб. – 50 000 руб.


  • Нарушение порядка категорирования объектов КИИ.
  • Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
  • Непредставление или нарушение порядка либо сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ
  • Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА
10 000 руб. – 40 000 руб.
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования
20 000 руб. – 50 000 руб.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Юридическое лицо
50 000 руб. – 100 000 руб.
  • Нарушение порядка категорирования объектов КИИ.
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования.
  • Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ.
  • Непредставление или нарушение порядка либо сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ
150 000 руб. – 200 000 руб.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ
100 000 руб. – 200 000 руб.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
100 000 руб. – 500 000 руб.
  • Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации