2024 год принес ряд существенных изменений в нормативно-правовые акты, регулирующие защиту объектов КИИ:
- Опубликованы перечни типовых объектов КИИ для химической, горнодобывающей, металлургической, оборонной промышленности и здравоохранения;
- В марте на рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий поправки в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- 2 мая 2024 года ФСТЭК России выпустил «Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ»;
- 1 сентября 2024 года вступил в силу приказ Министерства энергетики РФ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике»;
- 19 сентября 2024 года было официально опубликовано постановление Правительства Российской Федерации от 19.09.2024 № 1281 «О внесении изменений в постановление Правительства РФ от 08.02.2018 № 127»;
- 5 ноября 2024 года вступил в силу приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239». Приказ определяет меры защиты от атак типа «Отказ в обслуживании».
- В декабре вступило в силу постановление Правительства Российской Федерации «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ РФ», согласно которому ответственность за организацию перехода на преимущественное использование доверенных ПАК субъектами КИИ, осуществляющими функции государственного пенсионного обеспечения и обязательного социального страхования предлагается возложить на Минтруд России.
Кроме того, по ранее выпущенным законодательным актам:
С 1 января 2025 года органам государственной власти и компаниям с госучастием запрещено использовать иностранное ПО на принадлежащих им значимым объектам КИИ, даже если это ПО произведено в дружественной стране. И для всех субъектов КИИ запрещается использовать ПО от недружественных стран на любых объектах КИИ, независимо от того, являются они значимыми или нет (Указы Президента РФ № 166 от 30.03.2022 и № 250 от 01.05.2022).
Поправки в 187-ФЗ
В марте 2024 года на рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий поправки в 187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации».
Часть 2 статьи 6 187-ФЗ
Законопроект предлагает расширить полномочия Правительства РФ и наделить его полномочиями устанавливать требования к ПО, ПАК и оборудованию, используемым в составе ЗОКИИ (а также согласовывать использование зарубежных аналогов), сроки и порядок перехода на российское ПО и оборудование, а также контролировать этот переход. Для субъектов КИИ, работающих на финансовом рынке, аналогичным контролирующим органом будет Банк России.
Часть 3 статьи 9 187-ФЗ
В части 3 статьи 9 187-ФЗ появятся дополнительные пункты, закрепляющие обязанность субъектов КИИ соблюдать требования, о которых написано выше.
Статья 7 187-ФЗ
Статью 7 предлагается дополнить сразу несколькими новыми частями, в которых будут прописаны:
- Обязанность субъектов КИИ при категорировании соблюдать отраслевые методические указания;
- Обязанность государства, Банка России и иных юридических лиц, занимающихся нормативно-правовым регулированием в своей отрасли, разрабатывать
- Отраслевые перечни объектов КИИ;
- Отраслевые методические указания по категорированию КИИ утверждаются гос. органами и юридическими лицами по согласованию со ФСТЭК России;
- Процесс контроля представления субъектами КИИ актуальных и достоверных сведений об имеющихся у них объектах КИИ, а также сроки уведомления субъекта КИИ о выявленных неактуальных сведениях и сроки предоставления актуализированных сведений или обоснований об отсутствии необходимости исправления сведений.
На момент написания этой статьи утверждены следующие отраслевые перечни типовых объектов КИИ для:
- сферы наук (01.10.2024)
- связи (06.03.2024)
- оборонной промышленности (25.01.2024)
- химической промышленности (24.01.2024)
- горнодобывающей промышленности (в части руд, камней)(24.01.2024)
- металлургической промышленности (24.01.2024)
- здравоохранения (27.12.2023)
- топливно-энергетического комплекса (31.08.2023)
- энергетики (08.08.2023)
- транспорта (15.05.2023).
Методические указания по категорированию разработаны для:
- здравоохранения
- связи
- топливно-энергетического комплекса.
Планировалось, что предлагаемые изменения вступят в силу с 1 марта 2025 года, но в настоящее время рассмотрение законопроекта перенесено на весеннюю сессию Государственной Думы.
Поправки в ПП-127
Поправки вступили в силу с 27 сентября 2024
В сентябре 2024 года Правительство РФ изменило правила категорирования объектов КИИ. Согласно ПП №1281 от 19 сентября 2024 года субъектам КИИ больше не нужно формировать перечни объектов и направлять их во ФСТЭК.
Согласно объяснению законодателей, пункты 5,15 и 10 ПП № 127 от 8 февраля 2018 года противоречили друг другу. Пункты 5 и 15 говорили о необходимости формирования субъектом КИИ перечня объектов КИИ, подлежащих категорированию, и согласованию их со ФСТЭК. В то время как в пункте 10 было написано, что перечни типовых отраслевых объектов КИИ формируют государственные органы и уполномоченные российские юридические лица по согласованию со ФСТЭК.
Регулятор посчитал избыточными формирование перечней объектов КИИ, так как профильные министерства совместно со ФСТЭК России за последние 2 года уже сформировали перечни типовых отраслевых объектов КИИ, которые могут использоваться в качестве исходных данных при категорировании. ПП № 1281 от 19 сентября 2024 года отменяет подпункт «г» пункта 5 и пункт 15 и вносит изменения в подпункт «в» пункта 14 Постановления Правительства №127 от 8 февраля 2018 года.
Ранее категорирование объектов КИИ необходимо было осуществить в течение одного календарного года с даты утверждения перечня объектов КИИ во ФСТЭК. Теперь субъектам КИИ после определения объектов КИИ, участвующих в критических процессах, необходимо сразу приступать к оценке в соответствии с перечнем показателей критериев значимости масштаба возможных последствий инцидентов, минуя составление перечня и согласование его со ФСТЭК.
Методика оценки объектов КИИ
Методика официально утверждена 2 мая 2024
Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ определяет значение и порядок расчета показателя, характеризующего текущее состояние обеспечения безопасности значимых объектов КИИ.
Документ будет использоваться как субъектами КИИ, так и ФСТЭК России для контроля за обеспечением безопасности объектов КИИ. Также, данная Методика будет использоваться компаниями, проводящими аудит защищенности у субъектов КИИ в соответствии с пунктами № 28, 35, 36, 37 Приказа № 235 ФСТЭК России.
Согласно п. 11 Методики оценка показателя обеспечения безопасности должна проводиться не реже 1 раза в 6 месяцев, обязательно для всех значимых объектов КИИ. Ранее контроль текущего состояния безопасности ЗО КИИ согласно Приказу ФСТЭК России № 235 должен был проводится значительно реже - минимум 1 раз в 3 года.
В целом все изменения в законодательстве, произошедшие в 2024 году, направлены на ускорение построения реальной (не бумажной) ИБ объектов КИИ. 2 основные поправки 2024 года уже решили 2 главные проблемы индустрии: занижение категории значимости объектов КИИ и затягивание сроков перехода к проектированию системы защиты после подачи списка ЗОКИИ во ФСТЭК. Количество атак на объекты КИИ только увеличивается, и эксперты рынка сходятся во мнении, что в будущем регулирование будет только ужесточаться: возможно, появятся новые методические указания или приказы ФСТЭК.