Конец декабря 2022 принес ряд важных изменений в законодательстве в сфере информационной безопасности ОКИИ.
1.Постановление правительства от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2019 №127». Кроме незначительных изменений формулировок, внимание заслуживает изменение некоторых показателей критериев значимости.
В частности, критерий №5 дополнился дополнительным пунктом:
Показатель
Значение показателя в социальной значимости
5.
Отсутствие доступа к государственной услуге, оцениваемое:
б) во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении услуги, в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)
I категория
менее или равно 30
II категория
более 30, но менее или равно 70
III категория
более 70
Для субъектов КИИ, функционирующих в сферах энергетики, топливно-энергетического комплекса, горнодобывающей, металлургической и химической промышленности более значимым является изменение в критерии №9 в сторону ужесточения. Прошлая редакция выглядит так:
Показатель
Значение показателя в экономической значимости
9
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)
I категория
более 0,001, но менее или равно 0,05
II категория
более 0,05, но менее или равно 0,1
III категория
более 0,1
В новой редакции так:
Показатель
Значение показателя в экономической значимости
9
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)
I категория
более 0,0003, но менее или равно 0,0006
II категория
более 0,0006, но менее или равно 0,001
III категория
более 0,001
Если сравнить значения, то видно, что в старой редакции документа критерий для отнесения к III категории значимости теперь является верхним пределом для I, а показатели для более низких категорий уменьшились в несколько раз относительно старой редакции Постановления.
Чем это грозит субъектам КИИ?
Во-первых, критерий №9, который раньше практически никогда не брался в расчет, теперь стоит рассматривать как потенциально применимый.
Во-вторых, согласно п.21 постановления правительства №127 «субъект КИИ не реже чем один раз в 5 лет, а также в случаях изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий». Постановление правительства от 20.12.2022 №2360 как раз ввело изменения в критерии.
Что делать субъектам КИИ, проводившим процедуру категорирования ранее, сейчас?
Актуализировать приказ о создании постоянно действующей комиссии по категорированию.
Провести расчет потенциального ущерба от возникновения компьютерных инцидентов и сравнить с показателями критериев значимости.
Как правильно произвести расчет?
Экономический ущерб как правило складывается из двух составляющих - прямого и косвенного ущерба.
Прямой ущерб:
вышедшее из строя оборудование, в т.ч. технологическое;
недополученная прибыль от простоя технологической установки, либо от приостановки отгрузки;
прочий прямой материальный ущерб (например, повреждения соседних установок, разрушение/повреждение гражданских строений и т.д.).
Косвенный ущерб:
привлечение подрядчиков на восстановительные работы;
привлечение собственного персонала на сверхурочные работы;
повышенное энергопотребление для выполнения вышеуказанных работ;
штрафные санкции контролирующих органов, например РТН;
неустойки, связанные с невыполнением контрактных обязательств (вплоть до расторжения контрактных обязательств);
репутационные потери, выражающиеся в нежелании дальнейшего сотрудничества и заключения контрактов с потребителями.
Время потенциального простоя нужно оценивать исходя из следующих факторов:
наличие ЗИП;
наличие рабочих резервных копий;
наличие квалифицированного персонала;
наличие отработанных планов проведения восстановительных работ.
3)Если новые расчеты не попадают ни в один из указанных интервалов значений показателей критериев значимости, оформите решение комиссии по категорированию протоколом. В этом случае уведомления ФСТЭК не требуется.
4)Если новые расчеты попали в один из указанных интервалов значений показателей критериев значимости, оформите сведения о категорировании ОКИИ по форме, регламентированной приказом ФСЭК от 22.12.2017 №236.
5)В течение 10 рабочих дней направьте актуализированные сведения во ФСТЭК. Формат предоставления не изменился.
Стоит помнить, что непредоставление или нарушение представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из , влечет административную ответственность по статье КоАП 19.7.15, с максимальным размером штрафа до 100 000 т.р.
При этом федеральным законом от 19.12.2022 №518-ФЗ внесены изменения в данную статью, и нарушением теперь является также предоставление недостоверных сведений. Также в статью 19.7.15 добавлена ч.3, со штрафом до 200 000 т.р. за повторное нарушение.
