Постановление 127 Правительства РФ. Что планируют менять в формате «было – стало»

Постановление 127 Правительства РФ. Что планируют менять в формате «было – стало»
Постановление 127 Правительства Российской Федерации, а точнее проект постановления «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Проект) вносит корректировки в уже сложившийся процесс по категорированию. Более того, затрагиваются результаты уже завершенных работ. В Проекте предполагается изменение перечня показателей критериев значимости и их значений. Это потребует пересмотра результатов ранее проведенных работ по категорированию, и конечно, это следует организациям, которые еще не завершили работы по категорированию.

Мы подготовили сравнение текущей редакции постановления и проекта. Цветом отмечены изменения.
ПунктБылоСталоКомментарии
П. 3 дополнить3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»
П. 6 после абзаца второго дополнитьВ случае, если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости может не проводиться.Уменьшает объем сведений в форме для отправки сведений в ФСТЭК
П. 8 абзац первый изложитьВ отношении объекта критической информационной инфраструктуры, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры
П. 9 дополнитьКатегорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями.Уточнены данные, которые необходимы от владельца объекта КИИ: угрозы безопасности информации, последствия нарушения или прекращения функционирования.
П. 10 «г» дополнитьДекларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации).Декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта безопасности предусмотрена законодательством Российской Федерации).
П. 11 абзац первый дополнитьДля проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию, в состав которой включаются:Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются:Комиссия становится постоянно действующей. Положение придется переделать
П 11 после подпункта «д» дополнитьПо решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники иных подразделений, в том числе финансово-экономического подразделения.
дополнить11.1. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах.
Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия субъекта критической информационной инфраструктуры.
дополнить11.2. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях, установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
б) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры
Описаны условия расформирования комиссии
П. 14 подпункт «в» дополнитьв) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов;в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетейНе ясно, зачем оценивать. Оценивать нужно все объекты. Возможно под «оценивать» имеется в виду определить является ли новая система объектом КИИ или нет? Если новая система не является объектом, категорировать не нужно
П. 14 в подпункте «д» исключитьд) анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктурыКомиссии в ходе своей работы не потребуется анализировать уязвимости
П. 14 подпункт «е» дополнитье) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимостьУточнение по порядку оценки критериев значимости – необходимо
П. 14 после подпункта «ж» дополнитьПри проведении работ, предусмотренных подпунктами «г» и «д» настоящего пункта, рассматриваются наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.Необходимо рассматривать зависимые объекты и процессы, определяется совокупный ущерб. Опосредованный ущерб не учитывается.
дополнить14.1. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект
дополнить14.2. В случае если выполнение критического процесса зависит от выполнения иных критических процессов субъекта критической информационной инфраструктуры, предусмотренная подпунктом «е» пункта 14 настоящих Правил оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов
П. 15 изложить
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.
Перечень объектов в течение 5 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).
Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры
П 16 1 абзац изложить и дополнитьРешение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры

Уменьшен перечень информации, указанной в акте. Результаты анализа угроз, реализованные меры и необходимые меры исключены.
Хотя в п 17 сведения об угрозах остались.
Не ясно один на все объекты или один на типовые, но объем бумаги можно уменьшить
П. 17 абзац первый дополнитьСубъект критической информационной инфраструктуры в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
П. 17 подпункт «з» дополнитьз) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованиемНужно предоставлять обоснованные значения по всем критериям. В случае если объекту присвоена первая категория, то рассматривать все критерии не обязательно.
П. 18 дополнитьСведения, указанные в пункте 17 настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры
Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры
По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах «а», «б», «в» и «з» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение)
Придется отправлять сведения по создаваемым объектам дважды: после утверждения требований и после ввода в эксплуатацию
П. 21 изложитьСубъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктурыСубъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры
Таблица п. 2 исключитьПрекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые:…Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, оцениваемые:…
Таблица п. 2 «а» (III категория) дополнитьВся территория одного муниципального образования или одной внутригородской территории города федерального значенияВ пределах территории одного муниципального образования (численностью
от 2 тыс. чел.)
или одной внутригородской территории города федерального значения
Если численность менее 2 тыс. человек, то территорию не рассматриваем
Таблица п. 2 «а» (II категория) дополнитьВыход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значенияВыход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значенияЕсли численность менее 2 тыс. человек, то территорию не рассматриваем
Таблица п. 2 «б» (III категория) изменитьБолее или равно 50, но менее 1000Более или равно 2, но менее 1000Уменьшено в 25 раз
Таблица п.4 изложитьПрекращение или нарушение функционирования сети связи, оцениваемые:
а) на территории, на которой возможно прекращение или нарушение функционирования сети связи;
б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек)
Прекращение или нарушение функционирования сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек)Не рассматриваем территорию на которой возможно прекращение или нарушение функционирования сети связи
Таблица п. 8 изложитьВозникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объёма доходов, усредненного за прошедший пятилетний период)
Таблица п. 8 (III категория) изменитьБолее 5, но менее или равно 10Более или равно 1, но менее или равно 10В 5 раз меньше
Таблица п. 8 (II категория) изменитьБолее 10, но менее или равно 15Более 10, но менее или равно 20
Таблица п. 8 (I категория) изменитьБолее 15Более 20
Таблица п. 9 изложитьВозникновение ущерба бюджетам Российской Федерации, оцениваемого:
а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета);
б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)Для расчета используется доход федерального бюджета.
Бюджет на 19-21 определен Федеральный закон от 29.11.2018 N 459-ФЗ “О федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов”.
Таблица п. 9 (II категория) изменитьБолее 0,005, но менее или равно 0,1более 0,05, но менее или равно 0,1Исправлена ошибка
Таблица п. 11 исключитьВредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия),оцениваемые:Вредные воздействия на окружающую среду, оцениваемые:
Таблица п.11«а» (III категория) дополнитьВся территория одного муниципального образования или одной внутригородской территории города федерального значенияВ пределах территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры
Типы муниципальных образований по Федеральному закону от 06.10.2003 N 131: городское или сельское поселение, муниципальный район, городской округ, городской округ с внутригородским делением, внутригородской район либо внутригородская территория города федерального значения.
Сельские поселения могут быть менее 2 тыс. человек
Таблица п. 11 «а» (II категория) дополнитьВыход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения.Выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры
Таблица п. 11 «а» (I категория) дополнитьВыход за пределы территории одного субъекта Российской Федерации или территории города федерального значенияВыход за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры
Таблица п. 11«б» (III категория) изменитьБолее или равно 50, но менее 1000Более или равно 2, но менее 1000Уменьшено в 25 раз
Таблица п. 13 дополнитьСнижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое:Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:
Таблица п. 13«а» (III категория) изменитьБолее 5, но менее или равно 10Более 0, но менее или равно 10Ущерб не допускается
Таблица п. 13«б» (III категория) изменитьБолее 3, но менее или равно 10Более 0, но менее или равно 10Ущерб не допускается
Таблица п. 14 (I категория) изменитьБолее 1Менее или равно 1Исправлена ошибка

187-ФЗ Безопасность КИИ
Alt text