Правительство изменило процедуру категорирования объектов КИИ, породив множество вопросов

27/9/2024

Содержание:
Правительство РФ 19 сентября приняло постановление №1281 о внесении изменений в постановление правительства РФ от 8 февраля 2018 г. № 127. Последним ранее была определена процедура категорирования объектов критической информационной инфраструктуры (КИИ), которая действовала до сих пор. Нынешнее изменение этой процедуры состоит из трех пунктов:
  • Признать утратившим силу требование формирования перечня объектов, подлежащих категорированию (подпункт «г» пункта 5 постановления №127);
  • Изъять из полномочий комиссии по категорированию возможность формирования перечня объектов и оценки необходимости категорирования создаваемых объектов (исключение соответствующих полномочий из подпункта «в» пункта 14 постановления №127);
  • Убрано требование согласования перечня с регуляторами, а также все сроки, в том числе и такой: «Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов» (убран весь пункт 15 постановления №127).

Максим Фокин, Директор департамента сертификации и безопасной разработки ОС «МСВСфера» (входит в экосистему «Инферит», ГК Softline) ответил на вопросы журналиста TAdviser.

Насколько важным был этап формирования перечня объектов для категорирования в процессе исполнения постановления №127?

Этап формирования перечня объектов КИИ для категорирования был важен до тех пор, пока в стране формировались перечни типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в различных сферах, установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». 

К настоящему моменту такие перечни сформированы в полном объеме, и нет никакого смысла формировать перечни объектов для категорирования силами субъектов КИИ, т.к. этот процесс был достаточно тяжелым и непонятным для таких организаций. 

При формировании перечней на местах многое зависело от компетенции специалистов, функционирующих в различных субъектах КИИ. Там, где компетенции были лучше, составлялись более или менее вменяемые перечни объектов. Где компетенции были пониже, там и результат получали соответствующий. В результате выполнения данного требования организации (субъекты КИИ) зачастую формировали избыточные перечни объектов КИИ, также нередко забывая добавлять в эти перечни реально важные для государства объекты.

Теперь нет необходимости заниматься данной работой. Можно взять готовые перечни типовых отраслевых объектов КИИ и соотнести с объектам своей организации, что позволит однозначно идентифицировать все объекты КИИ в организациях. Это позволит сократить на порядок время работы по категорированию объектов КИИ, разгрузить регулятора, сократить расходы организаций на обеспечение безопасности избыточных объектов, а также обеспечить защиту необходимых для государства объектов КИИ. 

Сильно ли измениться процедура категорирования если этот этап удалить? Придется ли менять сроки категорирования (год с регистрации перечня до категорирования также был отменен)?

Сам процесс для субъектов КИИ и регулятора сильно упростится, что должно благотворно повлиять на обеспечение безопасности реально важных для страны объектов КИИ.

На тему сокращения сроков ответить пока не представляется возможным. Всё зависит от того, как будет выстраиваться работа по категорированию объектов КИИ. Лучше подождать разъяснений от ФСТЭК России. Когда мы их получим, станет понятно, какой теперь срок будут выдавать субъектам КИИ на категорирование таких объектов.

Как формировать список объектов, которые подлежат категорированию? Можно ли для этого использовать перечни типовых отраслевых объектов, которые приняты во всех отраслевых регуляторах?

Да, насколько я понимаю, в этом и была главная задумка. Теперь не нужно в каждом конкретном субъекте КИИ своими силами сводить свои критические процессы с системами и пытаться понять, какие из систем отнести к объектам КИИ.

Достаточно взять утвержденные перечни типовых отраслевых объектов КИИ и сопоставить их с системами, реализующими критические процессы в субъекте КИИ. Если видите соответствие, значит, ваша система является объектом КИИ, и её нужно категорировать и защищать. 

По самому же процессу согласования объектов КИИ с регулятором необходимо дождаться разъяснений ФСТЭК России.

Оригинал статьи о нормативномом регулировании и практических аспектах обеспечения безопасности объектов критической информационной инфраструктуры в РФ "Безопасность критической информационной инфраструктуры РФ".

Рекомендуем

Бизнес больше не хочет "просто облако": исследование 2024 года

Инферит Облако

Бизнес больше не хочет "просто облако": исследование 2024 года

Инферит Облако

Бизнес больше не хочет "просто облако": исследование 2024 года

«Инферит Облако» и «Телеком биржа» проанализировали клиентские запросы за 2024 год и выявили, как изменились требования бизнеса к облачным сервисам. Почему компаниям больше недостаточно базовых решений и какие три направления формируют современный облачный рынок — в нашем материале.

Читать
Подробнее
Погубят ли отраслевые облака привычные решения?

Инферит Облако

Погубят ли отраслевые облака привычные решения?

Инферит Облако

Погубят ли отраслевые облака привычные решения?

«В изданиях уровня Forbes хорошим тоном считается предрекать забвение привычных облачных платформ. Якобы на их место придут отраслевые решения, и вот тогда все заживут счастливо. Поделюсь мнением, почему это не так, как минимум в России», - Виталий Ранн, директор по продукту «Инферит Облако».

Читать
Подробнее
Окупаются ли инвестиции в HR-бренд с точки зрения бизнеса и ценят ли его сами сотрудники?

Инферит Облако

Окупаются ли инвестиции в HR-бренд с точки зрения бизнеса и ценят ли его сами сотрудники?

Инферит Облако

Окупаются ли инвестиции в HR-бренд с точки зрения бизнеса и ценят ли его сами сотрудники?

Успех в современной ИТ-индустрии зависит не только от технологических инноваций, но и от способности компаний эффективно управлять человеческим капиталом. О развитии бренда работодателя и его внутреннем наполнении рассказывает Анна Мальми — директор по маркетингу провайдера «Инферит Облако» (ГК Softline).

Читать
Подробнее