
Мы не можем обойти этот вопрос и подготовили краткий обзор изменений как в тексте правил, так и в самих критериях оценки значимости.
Что поменялось
Дополнился п.10 правил. В нем появился подпункт «ж», что расширило исходные данные для категорирования:
ж) перечни типовых отраслевых объектов критической информационной инфраструктуры, которые могут формироваться государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (при наличии) |
Теперь, согласно изменению пунктов 19(1) - 19 (3) правил, сведения о категории значимости или ее отсутствии должны включать в себя полную информацию об объекте КИИ. Перечень этой информации представлен в п.17.
Сами показатели критериев значимости также видоизменились. В третьем пункте перечня критериев добавлена формулировка «транспортных средств, в том числе высокоавтоматизированных транспортных средств».
Было | 3. Прекращение 1 или нарушение функционирования 2 объектов транспортной инфраструктуры, оцениваемые: а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) |
Стало | 3. Прекращение 1 или нарушение функционирования 2 объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств, оцениваемые: а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) |
Это значит, что этот пункт теперь распространяется на транспорт с возможностью беспилотного управления.
Расширилась формулировка в 8 строке перечня показателей категории значимости.
Было | 8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) |
Стало | 8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) |
Теперь он распространяется на предприятия из реестра организаций оборонно-промышленного комплекса.
Стали жестче диапазоны оценки ущерба бюджету РФ (п.9 перечня) и если раньше объект КИИ согласно этому показателю относился к III категории, то теперь относится к I.
I категория | II категория | III категория | |
9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | |||
Было | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 |
Стало | более 0,0003, но менее или равно 0,0006 | более 0,0006, но менее или равно 0,001 | более 0,001 |
В 10 строке показателей категории значимости тоже произошло ужесточение диапазонов в отношении банковского сектора.
I категория | II категория | III категория | |
10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) | |||
Было | более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 |
Стало | менее или равно 70 | более 70, но менее или равно 120 | более 120 |
Теперь эти объекты КИИ могут автоматически получить III или выше категорию значимости.
В формулировке подпункта б) строки 13 перечня критериев теперь не упоминаются работы, услуги.
Было | 13. Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:
а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции);
б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции).
|
Стало | 13. Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:
а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции);
б) в увеличении времени выпуска продукции с заданным объемом (процентов установленного времени выпуска продукции). |
Новое
Теперь разберем новые пункты и подпункты в постановлении.
В 5 строку перечня критериев значимости добавился новый подпункт:
Было | 5. Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) |
Стало | 5. Отсутствие доступа к государственной услуге, оцениваемое:
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)
б) во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом) |
Это означает, что отсчет времени неоказания услуги начинается с момента запроса о её предоставлении.
Новые пункты 10(1) - 10(5) в перечне критериев значимости. Они затрагивают экономический сектор, включая страховые организации и негосударственные пенсионные фонды. Тем самым регулятор расширяет показатели критериев значимости для этих субъектов КИИ.
Что делать дальше?
Проведите заново категорирование ОКИИ с учетом обновлений.
Возьмите за правило актуализировать сведения об ОКИИ и своевременно направлять их во ФСТЭК России. Напомним сроки: категорирования впервые - в срок не более одного года со дня утверждения перечня ОКИИ; пересмотр категории ОКИИ – не реже одного раза в 5 лет; изменения внутри организации или в связи с обновлением законодательства – осуществить пересмотр показателей критериев значимости и в течении 20 дней направить сведения во ФСТЭК России.
Подготовьтесь к проверкам сведений об ОКИИ со стороны регулятора.
я