21 декабря 2022 г. официально опубликовано Постановление Правительства Российской Федерации от 20.12.2022 № 2360, утверждающее изменения в правилах категорирования объектов КИИ и перечень показателей критериев значимости (Постановление Правительства Российской Федерации от 08.02.2018 № 127).
- Изменения, вступающие в силу со дня подписания
- 1.1. Изменения в показателях критериев значимости
- 1.1.1. Социальная значимость
- 1.1.2. Экономическая значимость
- 1.2. Новые показатели критериев значимости
- 1.2.1. Социальная значимость
- 1.2.2. Экономическая значимость
- 1.3. Актуализация сведений об объектах КИИ
- 1.4. Осуществление мониторинга актуальности и достоверности сведений об объектах КИИ
- 1.1. Изменения в показателях критериев значимости
- Разработка перечней типовых отраслевых объектов КИИ (изменения, вступающие в силу 21.03.2023)
- Что необходимо сделать субъектам КИИ в связи с выходом постановления?
В рамках постановления Правительство Российской Федерации вносит ряд значительных изменений, усиливающих ведомственный мониторинг и влекущих за собой необходимость выполнения субъектами КИИ ряда мероприятий.
Изменения, вступающие в силу со дня подписания
Со дня подписания (20.12.2022) вступают в силу изменения в перечень показателей критериев значимости (Постановление Правительства Российской Федерации от 08.02.2018 № 127). Согласно пункту 21 постановления, «Субъект КИИ <…> в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий».
Следовательно, субъектам КИИ необходимо в ближайшее время провести повторное категорирование принадлежащих им объектов КИИ в соответствии с обновлёнными значениями и вновь введёнными показателями критериев значимости.
Изменения в показателях критериев значимости
Социальная значимость
Показатель № 3: формулировка изменена на «Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств». Это означает необходимость применения критерия не только к объектам инфраструктуры (вокзалы, порты и т. д.), но и к транспорту — поездам, судам, самолетам и т. д.
Экономическая значимость
Показатель № 8: формулировка изменена на «Возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием <…>». Расширение формулировки показателя распространяет его применимость на предприятия включённые в сводный реестр организаций оборонно-промышленного комплекса (утверждён приказом Минпромторга России от 18.05.2022 № 1981, не подлежит публикации).
Показатель № 9: значительно изменены пороговые значения оценки ущерба бюджетам Российской Федерации. В соответствии с предлагаемыми изменениями объекты КИИ, которые ранее получили III категорию значимости по данному показателю, становятся объектами КИИ I категории значимости.
Показатель № 10: исключено пороговое значение для III категории значимости. Это означает, что при возможном прекращении или нарушении проведения клиентами операций по переводу денежных средств объекты КИИ автоматически получают III (либо выше) категорию значимости.
Показатель № 13 «б»: формулировка изменена на «в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объёмом <…>».
Новые показатели критериев значимости
Добавлены следующие показатели критериев значимости.
Социальная значимость
Показатель № 5 «б»: время отсутствия доступа к государственной услуге (невозможности её оказания), оцениваемое с момента приёма запроса о предоставлении услуги.
Экономическая значимость
Показатель № 101: прекращение либо нарушение проведения операций по исполнению обязательств центральным контрагентом.
Показатель № 102: прекращение либо нарушение проведения учётных и расчётных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций.
Показатель № 103: прекращение либо нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом.
Показатель № 104: прекращение либо нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями.
Показатель № 105: прекращение либо нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Актуализация сведений об объектах КИИ
Требование об актуализации сведений в случае их изменения теперь распространяется на все сведения об объекте КИИ. Следовательно, подавать актуальные сведения во ФСТЭК России (по форме, утверждённой приказом ФСТЭК России от 22.12.2017 № 236) в течение 20 рабочих дней необходимо в случае изменения следующих сведений:
- об объекте КИИ;
- о субъекте КИИ (в т. ч. об ответственных лицах);
- о взаимодействии ОКИИ с сетями электросвязи;
- об эксплуатантах объекта КИИ;
- о составе объекта КИИ, используемых СрЗИ;
- об актуальных УБИ объекта КИИ, категориях нарушителей, последствиях возникновения компьютерных инцидентов;
- о присвоенной категории значимости, результатах оценки показателей критериев значимости;
- о реализованных мерах по обеспечению безопасности объектов КИИ.
Осуществление мониторинга актуальности и достоверности сведений об объектах КИИ
Мониторинг актуальности и достоверности сведений теперь также осуществляется в отношении всех указанных выше сведений. К такому мониторингу могут привлекаться подведомственные организации. Мониторинг подведомственных организаций осуществляется соответствующими ведомствами. Актуальность и достоверность сведений может подтверждаться как заочно, так и очно («путём ознакомления с объектами КИИ по месту их нахождения»).
Срок направления нарушений, выявленных в результате мониторинга, во ФСТЭК России — не позднее 30 дней со дня их выявления.
Разработка перечней типовых отраслевых объектов КИИ (изменения, вступающие в силу 21.03.2023)
Исходными данными для категорирования будут являться перечни типовых отраслевых объектов КИИ, которые могут формироваться государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности. Разработка перечней типовых отраслевых объектов КИИ ранее анонсировалась Минцифры России. Следовательно, у каждой отрасли может появиться перечень типовых систем, которые обязательно должны входить в перечень категорируемых объектов КИИ. Вероятнее всего, при осуществлении мониторинга или государственного контроля отсутствие типовых объектов КИИ (и обоснований их отсутствия) будет считаться несоответствием Правилам категорирования.
Что необходимо сделать субъектам КИИ в связи с выходом постановления?
Подведём итог: в соответствии со внесёнными изменениями у субъектов КИИ возникли обязательства по проведению ряда мероприятий для выполнения требований обновлённого порядка категорирования.
В качестве первостепенных задач для всех субъектов КИИ можно выделить:
- Проведение повторного категорирования объектов КИИ в соответствии с обновлёнными показателями критериев значимости (согласно требованиям пункта 21 Правил категорирования) с учётом отраслевых перечней объектов КИИ (при их издании ведомствами).
- Актуализация сведений об объектах КИИ на постоянной основе и направление их во ФСТЭК России в течение 20 дней после изменения состава, условий функционирования объектов КИИ или возможных последствий при возникновении на объектах КИИ компьютерных инцидентов.
- Подготовка к возможному мониторингу актуальности и достоверности сведений об объектах КИИ со стороны отраслевых регуляторов и подведомственных им организаций.
Кроме того, возникает необходимость расчёта вновь принятых показателей критериев значимости и уточнения результатов категорирования для следующих субъектов КИИ:
- Организации, которые осуществляют деятельность в сфере транспорта (по показателю 3).
- Органы, которые предоставляют государственные услуги, или подведомственные государственным органам организации, участвующие в предоставлении государственных услуг (по показателю 5 «б»).
- Организации оборонно-промышленного комплекса (по показателю 8).
- Центральные контрагенты (по показателю 101).
- Центральные депозитарии и регистраторы финансовых транзакций (по показателю 102).
- Негосударственные пенсионные фонды (по показателю 103).
- Страховые организации (по показателю 104).
- Операторы услуг информационного обмена (некредитные организации, по показателю 105).
Таблица 1. Перечень изменённых и вновь введённых показателей критериев значимости объектов КИИ РФ и их значений
|
Показатель |
Значение показателя |
|||
|
III категория |
II категория |
I категория |
||
|
I. Социальная значимость |
||||
|
3. |
Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, высокоавтоматизированных транспортных средств, оцениваемые: |
|||
|
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; |
в пределах территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения |
выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
|
|
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) |
более или равно 2, но менее 1 000 |
более или равно 1 000, но менее 5 000 |
более или равно 5 000 |
|
|
5. |
Отсутствие доступа к государственной услуге, оцениваемое: |
|||
|
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) |
менее или равно 24, но более 12 |
менее или равно 12, но более 6 |
менее или равно 6 |
|
|
б) во времени с момента приёма запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом) |
менее или равно 30 |
более 30, но менее или равно 70 |
более 70 |
|
|
III. Экономическая значимость |
||||
|
8. |
Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учётом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объёма доходов, усреднённого за прошедший 5-летний период) |
более или равно 1, но менее или равно 10 |
более 10, но менее или равно 20 |
более 20 |
|
9. |
Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усреднённого за планируемый трёхлетний период) |
более 0,001 / 0,0003, но менее или равно 0,05 / 0,0006 |
более 0,05 / 0,0006, но менее или равно 0,1 / 0,001 |
более 0,1 / 0,001 |
|
10. |
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счёта или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платёжной инфраструктуры системно значимых платёжных систем, кредитной организацией, значимой на рынке платёжных услуг, оператором услуг платёжной инфраструктуры, оказывающим услуги платёжной инфраструктуры в рамках системно значимых платёжных систем, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн единиц) (расчёт осуществляется по итогам года, а для создаваемых объектов — на основе прогнозных значений) |
более 3, но менее или равно 70 |
более 70, но менее или равно 120 |
более 120 |
|
10.1. |
Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн руб.) |
менее 1 |
более или равно 1, но менее 10 |
более или равно 10 |
|
10.2. |
Прекращение или нарушение проведения учётных и расчётных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. шт.) |
менее 10 |
более или равно 10, но менее 25 |
более или равно 25 |
|
10.3. |
Прекращение или нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд руб.) |
более или равно 50, но менее 1 000 |
более или равно 1 000, но менее 2 000 |
более или равно 2 000 |
|
10.4. |
Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховыми организациями, оцениваемые объёмом активов (млрд руб.) |
более или равно 100, но менее 1 500 |
более или равно 1 500, но менее 5 000 |
более или равно 5 000 |
|
10.5. |
Прекращение или нарушение выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся операторами услуг информационного обмена (некредитными организациями), которые оцениваются количеством заключённых договоров с кредитными организациями |
более или равно 25, но менее 100 |
более или равно 100, но менее 150 |
более или равно 150 |
|
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка |
||||
|
13. |
Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое: |
|||
|
а) в снижении объёмов выпуска единицы изделия (работ, услуг) в заданный период времени (процентов заданного объёма продукции); |
более 0, но менее или равно 10 |
более 10, но менее или равно 15 |
более 15 |
|
|
б) в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объёмом (процентов установленного времени выпуска единицы изделия, выполнения работ, оказания услуг) |
более 0, но менее или равно 10 |
более 10, но менее или равно 40 |
более 40 |
|
Авторы:
Михаил Голдобин, старший аналитик УЦСБ
Ольга Рогова, аналитик УЦСБ
