Постановление 127 Правительства Российской Федерации, а точнее проект постановления «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Проект) вносит корректировки в уже сложившийся процесс по категорированию. Более того, затрагиваются результаты уже завершенных работ. В Проекте предполагается изменение перечня показателей критериев значимости и их значений. Это потребует пересмотра результатов ранее проведенных работ по категорированию, и конечно, это следует организациям, которые еще не завершили работы по категорированию.
Мы подготовили сравнение текущей редакции постановления и проекта. Цветом отмечены изменения.
| Пункт | Было | Стало | Комментарии |
| П. 3 дополнить | 3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры. | 3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» | |
| П. 6 после абзаца второго дополнить | В случае, если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости может не проводиться. | Уменьшает объем сведений в форме для отправки сведений в ФСТЭК | |
| П. 8 абзац первый изложить | В отношении объекта критической информационной инфраструктуры, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры. | В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры | |
| П. 9 дополнить | Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями. | Уточнены данные, которые необходимы от владельца объекта КИИ: угрозы безопасности информации, последствия нарушения или прекращения функционирования. | |
| П. 10 «г» дополнить | Декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации). | Декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта безопасности предусмотрена законодательством Российской Федерации). | |
| П. 11 абзац первый дополнить | Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию, в состав которой включаются: | Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются: | Комиссия становится постоянно действующей. Положение придется переделать |
| П 11 после подпункта «д» дополнить | По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники иных подразделений, в том числе финансово-экономического подразделения. | ||
| дополнить |
11.1. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия субъекта критической информационной инфраструктуры. |
||
| дополнить |
11.2. Комиссия по категорированию подлежит расформированию в следующих случаях: а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях, установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»; б) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры |
Описаны условия расформирования комиссии | |
| П. 14 подпункт «в» дополнить | в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов; | в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей | Не ясно, зачем оценивать. Оценивать нужно все объекты. Возможно под «оценивать» имеется в виду определить является ли новая система объектом КИИ или нет? Если новая система не является объектом, категорировать не нужно |
| П. 14 в подпункте «д» исключить | д) анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры; | д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры | Комиссии в ходе своей работы не потребуется анализировать уязвимости |
| П. 14 подпункт «е» дополнить | е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры; | е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость | Уточнение по порядку оценки критериев значимости – необходимо |
| П. 14 после подпункта «ж» дополнить | При проведении работ, предусмотренных подпунктами «г» и «д» настоящего пункта, рассматриваются наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. | Необходимо рассматривать зависимые объекты и процессы, определяется совокупный ущерб. Опосредованный ущерб не учитывается. | |
| дополнить | 14.1. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект | ||
| дополнить | 14.2. В случае если выполнение критического процесса зависит от выполнения иных критических процессов субъекта критической информационной инфраструктуры, предусмотренная подпунктом «е» пункта 14 настоящих Правил оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов | ||
| П. 15 изложить |
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. |
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений). Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры |
|
| П 16 1 абзац изложить и дополнить | Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. |
Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры |
Уменьшен перечень информации, указанной в акте. Результаты анализа угроз, реализованные меры и необходимые меры исключены. Хотя в п 17 сведения об угрозах остались. Не ясно один на все объекты или один на типовые, но объем бумаги можно уменьшить |
| П. 17 абзац первый дополнить | Субъект критической информационной инфраструктуры в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. | Субъект критической информационной инфраструктуры в течение 10 рабочихдней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий | |
| П. 17 подпункт «з» дополнить | з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости; | з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием | Нужно предоставлять обоснованные значения по всем критериям. В случае если объекту присвоена первая категория, то рассматривать все критерии не обязательно. |
| П. 18 дополнить | Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры |
Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах «а», «б», «в» и «з» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение) |
Придется отправлять сведения по создаваемым объектам дважды: после утверждения требований и после ввода в эксплуатацию |
| П. 21 изложить | Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры | Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры | |
| Таблица п. 2 исключить | Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые:… | Прекращение1) или нарушение функционирования2) объектов обеспечения жизнедеятельности населения3), оцениваемые:… | |
| Таблица п. 2 «а» (III категория) дополнить | Вся территория одного муниципального образования или одной внутригородской территории города федерального значения |
В пределах территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения |
Если численность менее 2 тыс. человек, то территорию не рассматриваем |
| Таблица п. 2 «а» (II категория) дополнить | Выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | Выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | Если численность менее 2 тыс. человек, то территорию не рассматриваем |
| Таблица п. 2 «б» (III категория) изменить | Более или равно 50, но менее 1000 | Более или равно 2, но менее 1000 | Уменьшено в 25 раз |
| Таблица п.4 изложить |
Прекращение или нарушение функционирования сети связи, оцениваемые: а) на территории, на которой возможно прекращение или нарушение функционирования сети связи; б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек) |
Прекращение1) или нарушение функционирования2) сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек) | Не рассматриваем территорию на которой возможно прекращение или нарушение функционирования сети связи |
| Таблица п. 8 изложить | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности) | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом4), стратегическим предприятием4), оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объёма доходов, усредненного за прошедший пятилетний период) | |
| Таблица п. 8 (III категория) изменить | Более 5, но менее или равно 10 | Более или равно 1, но менее или равно 10 | В 5 раз меньше |
| Таблица п. 8 (II категория) изменить | Более 10, но менее или равно 15 | Более 10, но менее или равно 20 | |
| Таблица п. 8 (I категория) изменить | Более 15 | Более 20 | |
| Таблица п. 9 изложить |
Возникновение ущерба бюджетам Российской Федерации, оцениваемого: а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета); б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета); в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета) |
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период) |
Для расчета используется доход федерального бюджета. Бюджет на 19-21 определен Федеральный закон от 29.11.2018 N 459-ФЗ “О федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов”. |
| Таблица п. 9 (II категория) изменить | Более 0,005, но менее или равно 0,1 | более 0,05, но менее или равно 0,1 | Исправлена ошибка |
| Таблица п. 11 исключить | Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия),оцениваемые: | Вредные воздействия на окружающую среду5), оцениваемые: | |
| Таблица п.11«а» (III категория) дополнить | Вся территория одного муниципального образования или одной внутригородской территории города федерального значения | В пределах территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры |
Типы муниципальных образований по Федеральному закону от 06.10.2003 N 131: городское или сельское поселение, муниципальный район, городской округ, городской округ с внутригородским делением, внутригородской район либо внутригородская территория города федерального значения. Сельские поселения могут быть менее 2 тыс. человек |
| Таблица п. 11 «а» (II категория) дополнить | Выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения. | Выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры | |
| Таблица п. 11 «а» (I категория) дополнить | Выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | Выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры | |
| Таблица п. 11«б» (III категория) изменить | Более или равно 50, но менее 1000 | Более или равно 2, но менее 1000 | Уменьшено в 25 раз |
| Таблица п. 13 дополнить | Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое: | Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое: | |
| Таблица п. 13«а» (III категория) изменить | Более 5, но менее или равно 10 | Более 0, но менее или равно 10 | Ущерб не допускается |
| Таблица п. 13«б» (III категория) изменить | Более 3, но менее или равно 10 | Более 0, но менее или равно 10 | Ущерб не допускается |
| Таблица п. 14 (I категория) изменить | Более 1 | Менее или равно 1 | Исправлена ошибка |
