Правительство России внесло изменения в правила категорирования объектов критической информационной инфраструктуры (КИИ). Поправки касаются передачи функции определения типовых отраслевых объектов КИИ в руки госорганов. Однако правила категорирования все еще оставляют у представителей различных отраслей вопросы.
Анна
Швецова
© ComNews
23.09.2024

На официальном интернет-портале правовой информации правительство РФ опубликовало постановление, которое вносит изменение в постановление от 8 февраля 2018 г. №127.

Это означает, что новым постановлением убрали обязанность формировать перечни объектов КИИ, а также необходимость их направления во ФСТЭК.

"По сути субъектов КИИ лишили полномочий проводить категорирование самим - как раз для исключения вероятных случаев занижения категории значимости объектов КИИ или снижения их декларируемого числа. Теперь госорганы формируют перечни типовых отраслевых объектов КИИ для различных секторов экономики, и на их основе будет производится категорирование фактически без участия субъектов КИИ", - объяснил генеральный директор Security Vision Руслан Рахметов.

На данный момент существуют перечни типовых отраслевых объектов КИИ, функционирующих в сфере связи, транспорта, здравоохранения, энергетики, топливно-энергетического комплекса, а также химической, оборонной, горнодобывающей, металлургической промышленности.

Ранее авторы постановления объясняли, что в правилах категорирования объектов КИИ содержались противоречащие друг другу пункты: согласно пунктам 5 и 15 субъекты КИИ обязаны формировать перечни объектов КИИ, подлежащих категорированию и отправлять их в федеральную службу по техническому и экспортному контролю (ФСТЭК). В то же время согласно пункту 10 перечни типовых отраслевых объектов КИИ формируют госорганы и уполномоченные юрлица по согласованию со ФСТЭК. Перечни необходимы в качестве исходных данных при категорировании объектов КИИ. Новое постановление отменяет подпункт "г" пункта 5 и пункт 15, а также вносит корректировки в подпункт "в" пункта 14.

Объекты критической информационной инфраструктуры (КИИ) - информсистемы, сети, системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, финансов, энергетики, атомной энергии, обороны, горной добычи, металлургии, химической промышленности и топливно-энергетического комплекса, госрегистрации прав на недвижимое имущество, ракетно-космической сфере.

Субъекты КИИ - организации или индивидуальные предприниматели, владеющие этими информсистемами или их арендующие.

В марте 2024 г. ComNews писал, что организации по ряду причин избегают от­но­сить объ­ек­ты КИИ к зна­чимым. Одна из них - э­коно­мия средс­тв на ин­фо­безо­пас­ность. Этот факт подтверждали и представители Министерства цифрового развития, связи и массовых коммуникаций. "Относить или нет объект КИИ к значимому, определяет собственник той или иной информсистемы. Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. Законопроект позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным", - писал представитель Минцифры на сайте ведомства.

https://www.comnews.ru/content/232222/2024-03-25/2024-w13/1008/organizacii-obzavedutsya-znachimymi-obektami-kriticheskoy-informacionnoy-infrastruktury

"Сознательное занижение некоторыми организациями категорий значимости привело к выходу государства на первый план в присуждении статуса КИИ - это обеспечение безопасности страны и ее граждан, учитывая частоту атак на российскую ИТ-инфраструктуру", - сказал заместитель директора и соучредитель компании VINTEO Дмитрий Серый.

Он считает, что наилучший вариант категорирования КИИ - взаимодействие государства и организаций в определении критичности информсистем. Это позволило бы учитывать реальные возможности субъектов КИИ при переходе на отечественный софт, оказывать им поддержку в подборе российских решений для миграции, более комплексно развивать и защищать ИТ-инфраструктуру.

У представителей отрасли возникают вопросы, как трактовать документ. Руководитель отдела консалтинга и аудита Angara Security Александр Хонин указывает на то, что в данный момент неясно, необходимо ли субъектам КИИ полностью брать за основу отраслевые перечни и выделять объекты согласно им или допускается возможность отклонения от них. "Подходы к выделению объектов у всех разные: кто-то детализировал объекты на уровне отдельных систем, кто-то масштабировал и создавал более крупные объекты КИИ, состоящие из нескольких систем, - объяснил Александр Хонин. - В целом правила категорирования не запрещают нам подходить по разному к этому вопросу в части детализации или масштабирования объектов КИИ".

Александр Хонин объяснил, что учитывая сложность современных ИТ-инфраструктур, не всегда и не везде есть возможность типизировать все объекты КИИ.

Также встает вопрос о необходимости пересмотра всеми субъектами КИИ своих объектов КИИ, чтобы они соответствовали отраслевым перечням.

С другой стороны, отмечает он, изменения можно трактовать, как попытку государства уйти от процедуры формирования перечней объектов КИИ, чтобы субъекты высылали в регуляторы сразу результаты категорирования, в том числе убирая существующий максимальный срок категорирования в один год. Это может быть нужно для перехода к "основному" этапу - к созданию систем обеспечения безопасности значимых объектов КИИ, а вернее к обеспечению непосредственно самой безопасности.

"На сегодняшний день считать этап категорирования пройденным нельзя, и до сих пор остаются субъекты КИИ, которые еще находятся в начале этого пути, в том числе в части определения в целом перечня объектов КИИ", - объяснил Александр Хонин.

https://www.comnews.ru/content/235302/2024-09-20/2024-w38/1007/regulyatory-ne-budut-sdvigat-sroki-importozamescheniya

Новости из связанных рубрик