Правительство скорректировало правила категорирования объектов КИИ
На официальном интернет-портале правовой информации правительство РФ опубликовало
Это означает, что новым постановлением убрали обязанность формировать перечни объектов КИИ, а также необходимость их направления во ФСТЭК.
"По сути субъектов КИИ лишили полномочий проводить категорирование самим - как раз для исключения вероятных случаев занижения категории значимости объектов КИИ или снижения их декларируемого числа. Теперь госорганы формируют перечни типовых отраслевых объектов КИИ для различных секторов экономики, и на их основе будет производится категорирование фактически без участия субъектов КИИ", - объяснил генеральный директор Security Vision Руслан Рахметов.
На данный момент существуют перечни типовых отраслевых объектов КИИ, функционирующих в сфере связи, транспорта, здравоохранения, энергетики, топливно-энергетического комплекса, а также химической, оборонной, горнодобывающей, металлургической промышленности.
Ранее авторы постановления объясняли, что в правилах категорирования объектов КИИ содержались противоречащие друг другу пункты: согласно пунктам 5 и 15 субъекты КИИ обязаны формировать перечни объектов КИИ, подлежащих категорированию и отправлять их в федеральную службу по техническому и экспортному контролю (ФСТЭК). В то же время согласно пункту 10 перечни типовых отраслевых объектов КИИ формируют госорганы и уполномоченные юрлица по согласованию со ФСТЭК. Перечни необходимы в качестве исходных данных при категорировании объектов КИИ. Новое постановление отменяет подпункт "г" пункта 5 и пункт 15, а также вносит корректировки в подпункт "в" пункта 14.
Объекты критической информационной инфраструктуры (КИИ) - информсистемы, сети, системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, финансов, энергетики, атомной энергии, обороны, горной добычи, металлургии, химической промышленности и топливно-энергетического комплекса, госрегистрации прав на недвижимое имущество, ракетно-космической сфере.
Субъекты КИИ - организации или индивидуальные предприниматели, владеющие этими информсистемами или их арендующие.
В марте 2024 г. ComNews писал, что организации по ряду причин избегают относить объекты КИИ к значимым. Одна из них - экономия средств на инфобезопасность. Этот факт подтверждали и представители Министерства цифрового развития, связи и массовых коммуникаций. "Относить или нет объект КИИ к значимому, определяет собственник той или иной информсистемы. Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. Законопроект позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным", - писал представитель Минцифры на сайте ведомства.
"Сознательное занижение некоторыми организациями категорий значимости привело к выходу государства на первый план в присуждении статуса КИИ - это обеспечение безопасности страны и ее граждан, учитывая частоту атак на российскую ИТ-инфраструктуру", - сказал заместитель директора и соучредитель компании VINTEO Дмитрий Серый.
Он считает, что наилучший вариант категорирования КИИ - взаимодействие государства и организаций в определении критичности информсистем. Это позволило бы учитывать реальные возможности субъектов КИИ при переходе на отечественный софт, оказывать им поддержку в подборе российских решений для миграции, более комплексно развивать и защищать ИТ-инфраструктуру.
У представителей отрасли возникают вопросы, как трактовать документ. Руководитель отдела консалтинга и аудита Angara Security Александр Хонин указывает на то, что в данный момент неясно, необходимо ли субъектам КИИ полностью брать за основу отраслевые перечни и выделять объекты согласно им или допускается возможность отклонения от них. "Подходы к выделению объектов у всех разные: кто-то детализировал объекты на уровне отдельных систем, кто-то масштабировал и создавал более крупные объекты КИИ, состоящие из нескольких систем, - объяснил Александр Хонин. - В целом правила категорирования не запрещают нам подходить по разному к этому вопросу в части детализации или масштабирования объектов КИИ".
Александр Хонин объяснил, что учитывая сложность современных ИТ-инфраструктур, не всегда и не везде есть возможность типизировать все объекты КИИ.
Также встает вопрос о необходимости пересмотра всеми субъектами КИИ своих объектов КИИ, чтобы они соответствовали отраслевым перечням.
С другой стороны, отмечает он, изменения можно трактовать, как попытку государства уйти от процедуры формирования перечней объектов КИИ, чтобы субъекты высылали в регуляторы сразу результаты категорирования, в том числе убирая существующий максимальный срок категорирования в один год. Это может быть нужно для перехода к "основному" этапу - к созданию систем обеспечения безопасности значимых объектов КИИ, а вернее к обеспечению непосредственно самой безопасности.
"На сегодняшний день считать этап категорирования пройденным нельзя, и до сих пор остаются субъекты КИИ, которые еще находятся в начале этого пути, в том числе в части определения в целом перечня объектов КИИ", - объяснил Александр Хонин.