Разбор документа
С текстом документа можно ознакомиться здесь.
Суть изменений
Изменения, внесенные 19 сентября 2024 года в ПП-127, затронули:
- порядок категорирования объектов КИИ,
- перечень обязанностей комиссии по категорированию,
- сроки категорирования объектов КИИ,
- процедуры согласования документации со ФСТЭК России.
Порядок категорирования
Для наглядности рассмотрим этапы процесса категорирования, которые существовали до внесения изменений.
В ПП-127 написано:
«5. Категорирование включает в себя:
а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию (далее - перечень объектов);
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.»
Новое постановление 1281 признало подпункт «г», касающийся формирования перечня объектов КИИ, подлежащих категорированию, утратившим силу.
Соответственно, субъектам КИИ при категорировании, сразу после определения объектов КИИ, задействованных в обеспечении критических процессов, следует приступать к оценке в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.
Перечень обязанностей комиссии по категорированию
Ранее в обязанности комиссии по категорированию входила подготовка предложений для включения объектов КИИ в перечень объектов КИИ, подлежащих категорированию.
Теперь этап формирования перечня объектов КИИ исключен из общего процесса категорирования, поэтому вышеупомянутая обязанность комиссии стала неактуальной и официально упразднена.
Кроме того, в обязанность комиссии по категорированию теперь не входит оценка необходимости категорирования вновь создаваемых информационных систем (ИС), автоматизированных систем управления (АСУ), информационно-телекоммуникационных сетей (ИТКС).
Согласование документации со ФСТЭК России
Еще одним изменением документа является признание утратившим силу пункта 15. Он обязывал субъекты КИИ согласовывать перечень объектов КИИ с отраслевым регулятором и ФСТЭК России в течение одного года со дня утверждения перечня объектов КИИ и проводить категорирование включенных в него объектов КИИ.
Рекомендации экспертов КСБ-СОФТ
В связи с отменой обязанности субъектов КИИ формирования перечня объектов КИИ, подлежащих категорированию и всех сопутствующих данному процессу мероприятий, советуем субъектам КИИ, которые на текущий момент завершили процесс категорирования, не забывать о следующем.
В случае появления на предприятии нового объекта КИИ, у Вас уже не будет срока в 1 год на его категорирование после внесения в перечень. Так как, во-первых, формирование перечня отменено, а во-вторых, согласно п. 8 ПП-127 категорию значимости в отношении создаваемого объекта КИИ необходимо определить при формировании требований к объекту КИИ с учетом имеющихся исходных данных о критических процессах субъекта КИИ.
Поэтому, если при проверке регулятором, окажется, что у вас эксплуатируется объект КИИ, который еще не категорировался, это будет являться административным правонарушением.
Касаемо субъектов КИИ, которые еще не приступали к категорированию своих объектов КИИ (а такие еще есть), советуем скорее создавать постоянно действующую комиссию, и категорировать принадлежащие Вам на законном основании ИС/АСУ/ИТКС, предварительно сверившись с типовым перечнем типовых отраслевых объектов КИИ, функционирующих в Вашей сфере. По завершении процедур, необходимо отправить результаты категорирования на согласование во ФСТЭК России.