Категорирование КИИ в 2025 году

detail-alt

В этой статье мы подробно рассмотрели изменения в законодательстве, которые повлияют на процесс категорирования объектов КИИ в 2025 году.

2024 год принес ряд существенных изменений в нормативно-правовые акты, регулирующие защиту объектов КИИ:

  • Опубликованы перечни типовых объектов КИИ для химической, горнодобывающей, металлургической, оборонной промышленности и здравоохранения; 
  • В марте на рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий поправки в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; 
  • 2 мая 2024 года ФСТЭК России выпустил «Методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ»; 
  • 1 сентября 2024 года вступил в силу приказ Министерства энергетики РФ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике»; 
  • 19 сентября 2024 года было официально опубликовано постановление Правительства Российской Федерации от 19.09.2024 № 1281 «О внесении изменений в постановление Правительства РФ от 08.02.2018 № 127»; 
  • 5 ноября 2024 года вступил в силу приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239». Приказ определяет меры защиты от атак типа «Отказ в обслуживании». 
  • В декабре вступило в силу постановление Правительства Российской Федерации «О внесении изменений ‎в постановление Правительства РФ ‎от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ РФ», согласно которому ответственность за организацию перехода на преимущественное использование доверенных ПАК субъектами КИИ, осуществляющими функции государственного пенсионного обеспечения и обязательного социального страхования предлагается возложить на Минтруд России.

Кроме того, по ранее выпущенным законодательным актам:

С 1 января 2025 года органам государственной власти и компаниям с госучастием запрещено использовать иностранное ПО на принадлежащих им значимым объектам КИИ, даже если это ПО произведено в дружественной стране. И для всех субъектов КИИ запрещается использовать ПО от недружественных стран на любых объектах КИИ, независимо от того, являются они значимыми или нет (Указы Президента РФ № 166 от 30.03.2022 и № 250 от 01.05.2022).



Поправки в 187-ФЗ

В марте 2024 года на рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий поправки в 187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации».

Часть 2 статьи 6 187-ФЗ

Законопроект предлагает расширить полномочия Правительства РФ и наделить его полномочиями устанавливать требования к ПО, ПАК и оборудованию, используемым в составе ЗОКИИ (а также согласовывать использование зарубежных аналогов), сроки и порядок перехода на российское ПО и оборудование, а также контролировать этот переход. Для субъектов КИИ, работающих на финансовом рынке, аналогичным контролирующим органом будет Банк России.

Часть 3 статьи 9 187-ФЗ

В части 3 статьи 9 187-ФЗ появятся дополнительные пункты, закрепляющие обязанность субъектов КИИ соблюдать требования, о которых написано выше.

Статья 7 187-ФЗ

Статью 7 предлагается дополнить сразу несколькими новыми частями, в которых будут прописаны:

  • Обязанность субъектов КИИ при категорировании соблюдать отраслевые методические указания; 
  • Обязанность государства, Банка России и иных юридических лиц, занимающихся нормативно-правовым регулированием в своей отрасли, разрабатывать
  • Отраслевые перечни объектов КИИ; 
  • Отраслевые методические указания по категорированию КИИ утверждаются гос. органами и юридическими лицами по согласованию со ФСТЭК России; 
  • Процесс контроля представления субъектами КИИ актуальных и достоверных сведений об имеющихся у них объектах КИИ, а также сроки уведомления субъекта КИИ о выявленных неактуальных сведениях и сроки предоставления актуализированных сведений или обоснований об отсутствии необходимости исправления сведений.

На момент написания этой статьи утверждены следующие отраслевые перечни типовых объектов КИИ для:

Методические указания по категорированию разработаны для:

Планировалось, что предлагаемые изменения вступят в силу с 1 марта 2025 года, но в настоящее время рассмотрение законопроекта перенесено на весеннюю сессию Государственной Думы.

Поправки в ПП-127

Картинка

Поправки вступили в силу с 27 сентября 2024

В сентябре 2024 года Правительство РФ изменило правила категорирования объектов КИИ. Согласно ПП №1281 от 19 сентября 2024 года субъектам КИИ больше не нужно формировать перечни объектов и направлять их во ФСТЭК.


Согласно объяснению законодателей, пункты 5,15 и 10 ПП № 127 от 8 февраля 2018 года противоречили друг другу. Пункты 5 и 15 говорили о необходимости формирования субъектом КИИ перечня объектов КИИ, подлежащих категорированию, и согласованию их со ФСТЭК. В то время как в пункте 10 было написано, что перечни типовых отраслевых объектов КИИ формируют государственные органы и уполномоченные российские юридические лица по согласованию со ФСТЭК.

Регулятор посчитал избыточными формирование перечней объектов КИИ, так как профильные министерства совместно со ФСТЭК России за последние 2 года уже сформировали перечни типовых отраслевых объектов КИИ, которые могут использоваться в качестве исходных данных при категорировании. ПП № 1281 от 19 сентября 2024 года отменяет подпункт «г» пункта 5 и пункт 15 и вносит изменения в подпункт «в» пункта 14 Постановления Правительства №127 от 8 февраля 2018 года.

Ранее категорирование объектов КИИ необходимо было осуществить в течение одного календарного года с даты утверждения перечня объектов КИИ во ФСТЭК. Теперь субъектам КИИ после определения объектов КИИ, участвующих в критических процессах, необходимо сразу приступать к оценке в соответствии с перечнем показателей критериев значимости масштаба возможных последствий инцидентов, минуя составление перечня и согласование его со ФСТЭК.

Методика оценки объектов КИИ 

Картинка

Методика официально утверждена 2 мая 2024

Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ определяет значение и порядок расчета показателя, характеризующего текущее состояние обеспечения безопасности значимых объектов КИИ.


Документ будет использоваться как субъектами КИИ, так и ФСТЭК России для контроля за обеспечением безопасности объектов КИИ. Также, данная Методика будет использоваться компаниями, проводящими аудит защищенности у субъектов КИИ в соответствии с пунктами № 28, 35, 36, 37 Приказа № 235 ФСТЭК России.

Согласно п. 11 Методики оценка показателя обеспечения безопасности должна проводиться не реже 1 раза в 6 месяцев, обязательно для всех значимых объектов КИИ. Ранее контроль текущего состояния безопасности ЗО КИИ согласно Приказу ФСТЭК России № 235 должен был проводится значительно реже - минимум 1 раз в 3 года.

В целом все изменения в законодательстве, произошедшие в 2024 году, направлены на ускорение построения реальной (не бумажной) ИБ объектов КИИ. 2 основные поправки 2024 года уже решили 2 главные проблемы индустрии: занижение категории значимости объектов КИИ и затягивание сроков перехода к проектированию системы защиты после подачи списка ЗОКИИ во ФСТЭК. Количество атак на объекты КИИ только увеличивается, и эксперты рынка сходятся во мнении, что в будущем регулирование будет только ужесточаться: возможно, появятся новые методические указания или приказы ФСТЭК.

КИИ 5 минут

другие новости

Изображение.

оставьте заявку

напишите нам,
если у вас есть вопросы

Ответим в рабочие дни с 9:00 до 18:00 по Москве