1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 N187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон), который распространяется на субъектов критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:
а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Первоочередными задачами, которые стоят перед субъектами КИИ для выполнения требований Закона, являются:
- Формирование Комиссии по категорированию;
- Определение перечня объектов КИИ;
- Предоставление утвержденного перечня объектов КИИ во ФСТЭК России;
- Категорирование объектов КИИ в соответствии с показателями критериев значимости и их значений, установленных Правительством Российской Федерации;
- Предоставление во ФСТЭК России сведений о результатах категорирования объектов КИИ.
Далее, на основании результатов категорирования, субъекты КИИ должны будут выполнить соответствующие требования ФСТЭК России, ФСБ России и/или Минкомсвязи России по обеспечению безопасности принадлежащих им значимых объектов КИИ.
Правила категорирования объектов КИИ и перечень показателей критериев значимости объектов КИИ утверждены постановлением Правительства РФ N127 от 08.02.2018 г. (далее – ПП РФ №127).
В настоящий момент много споров и обсуждений до сих пор вызывают сроки выполнения работ по приведению в соответствие требованиям Закона. В соответствии с Правилами категорирования объектов КИИ, субъекты КИИ должны завершить категорирование всех принадлежащих им объектов КИИ не позднее, чем через год с даты утверждения перечня объектов КИИ. А вот со сроком формирования перечня объектов КИИ и возникла коллизия, поскольку он не закреплен ни в Законе, ни в ПП РФ №127. В тексте проекта ПП РФ №127 на разработку и утверждение перечня объектов КИИ давалось полгода, но из финального текста эта норма пропала. В итоге многие организации – субъекты КИИ решили, что раз срок не установлен, то можно не спешить.
Однако, с начала лета 2018 года субъекты КИИ стали получать информационные письма от отраслевых регуляторов и местных органов исполнительной власти, разъясняющие их позицию в части сроков выполнения требований Закона. Практически все они сводятся к одному и тому же сроку – перечень объектов КИИ должен быть утвержден субъектами КИИ не позднее 1 сентября 2018 г.
При этом необходимо отдельно обратить внимание на то, что отсутствие письма от отраслевого регулятора или органа исполнительной власти с определением сроков утверждения перечня объектов КИИ не является основанием для исключения организации из сферы действия Закона. ФСТЭК России неоднократно озвучивал на конференциях, что определение принадлежности организации к категории «субъектов КИИ» осуществляется на основании анализа учредительных документов, кодов ОКВЭД и выданных организации лицензий и иных разрешительных документов, а также анонсировал планируемые изменения в ПП РФ №127, явно определяющие срок формирования перечня объектов КИИ. Поэтому всем субъектам КИИ, включая и тех, которые не получили информационные письма от отраслевых регуляторов или органов исполнительной власти, не стоит откладывать выполнение требований Закона и ПП РФ №127.
Что делать?
- Определите, является ли Ваша организация субъектом КИИ
Сверьте состав кодов ОКВЭД и лицензий и иных разрешительных документов, выданных Вашей организации, с составом сфер деятельности, приведенным в п.8) ст.2 Закона.
- Сформируйте Комиссию по категорированию
Комиссия по категорированию создается приказом руководителя субъекта КИИ. Требования к составу комиссии приведены в п.11 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127.
- Определите перечень объектов КИИ
Выявите все управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности Вашей организации. Далее, из всех этих процессов нужно выделить критические процессы и определить объекты КИИ (информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управления, контроль или мониторинг критических процессов (подробнее – см. пп.а)-г) п.5 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127).
Получившийся перечень объектов КИИ мы рекомендуем утвердить до 1 сентября 2018 года.
- Направьте утвержденный перечень объектов КИИ в Центральный аппарат ФСТЭК России
Утвержденный перечень объектов КИИ необходимо направить во ФСТЭК России не позднее, чем через 5 рабочих дней с даты утверждения.
- Проведите категорирование объектов КИИ
Для всех объектов КИИ, включенных в утвержденный перечень, необходимо провести категорирование в срок, не превышающий одного года с даты утверждения перечня объектов КИИ (подробнее – см. п.16 и пп.г)-ж) п.14 Правил категорирования объектов КИИ РФ, утвержденных ПП РФ №127).
- Направьте сведения о результатах категорирования в Центральный аппарат ФСТЭК России
Сведения о результатах присвоения объектам КИИ одной из категорий значимости (или об отсутствии необходимости присвоения одной из таких категорий), оформленные в соответствии с требованиями Приказа ФСТЭК России №236 от 22.12.217 г., необходимо направить во ФСТЭК России не позднее, чем через 10 календарных дней с даты завершения категорирования.
Если при решении этих задач у Вас будут возникать какие-либо вопросы, Вы можете обратиться за консультацией в ЗАО НИП «ИНФОРМЗАЩИТА».
Наши специалисты ответят на любой интересующий вопрос по услуге.