С момента вступления в силу 187-ФЗ (26 июля 2017 года) прошло уже 7 с лишним лет, а споры по поводу трактовки определенных положений законодательства в сфере ИБ КИИ продолжаются до сих пор.
Вопросов касательно вышедшего закона множество. И по одному из них споры не утихают до сих пор. Этот вопрос касается категорирования объектов КИИ. Звучит он чаще всего так:
Необходимо ли субъектам КИИ категорировать абсолютно все принадлежащие им ИС/АСУ/ИТКС или категорировать только те ИС/АСУ/ИТКС, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов?
Казалось бы, опубликованные отраслевыми регуляторами перечни типовых отраслевых объектов КИИ и последние изменения, внесенные в 127-ПП РФ, должны были прояснить данный вопрос, но пока это не так.
Теперь субъекты КИИ интересуются, а что делать с ИС/АСУ/ИТКС, которые отсутствуют в перечнях отраслевых объектов КИИ и не обеспечивают критические процессы? Будут ли данные системы являться объектами КИИ в целом?
В октябре 2024 года наши эксперты направили данные вопросы в центральный аппарат ФСТЭК России.
Ниже предлагаем ознакомиться с текстом нашего запроса и с официальным ответом регулятора.
Текст запроса во ФСТЭК России
«В связи с опубликованием государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, перечней отраслевых объектов критической инфраструктуры, а также в связи с вступлением в силу постановления Правительства Российской Федерации от 19.09.2024 № 1281 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127», прошу разъяснить:
Если субъекту КИИ на праве собственности принадлежит информационная система (ИС) или автоматизированная система управления (АСУ), которая отсутствует в перечне отраслевых объектов критической инфраструктуры, не обрабатывает информацию, необходимую для обеспечения критических процессов, и не осуществляет управление, контроль или мониторинг критических процессов, то необходимо ли в отношении данной ИС, АСУ проводить процедуру оценки в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры? И будет ли данная ИС, АСУ являться объектом критической информационной инфраструктуры?»
Ответ регулятора
В ответ в ответ на обращение присла официальный ответ.
Какие можно сделать выводы?
Итак, резюмируя ответ регулятора, поясним следующее:
1) Все ИС, АСУ, ИТКС, принадлежащие на законном основании субъекту КИИ, являются объектами КИИ.
2) Категорированию подлежат все ИС, АСУ, ИТКС, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных п. 8 ст. 2 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Привязки к критическим процессам в ответе регулятора нет.