ФСТЭК внес важные уточнения в порядок категорирования КИИ

Это предложение содержит проект постановления правительства РФ, уточняющего порядок категорирования объектов критической информационной инфраструктуры (КИИ), который подготовила и опубликовала для общественного обсуждения ФСТЭК.

Согласно Общероссийскому классификатору территорий муниципальных образований (ОКТМО), в России насчитывается 155 649 населенных пунктов, из которых 1100 городов. По данным информационного ресурса Города-Россия.рф, среди 794 малых городов страны (к ним относятся те, в которых проживает менее 50 тыс. человек) в категорию до 10 тыс. жителей попадает 204 города. Основное количество населенных пунктов в России – около 154,5 тыс. – приходится на сельские.

Появление нормативного акта было публично анонсировано заместителем директора ФСТЭК Виталием Лютиковым на конференции BIS Summit 2022. Однако ни характер, ни сроки внесения изменений в нормативную базу тогда озвучены не были.

"Изменения … правил категорирования направлены на исключение избыточного мониторинга в отношении субъектов критической информационной инфраструктуры, подведомственных государственным органам и российским юридическим лицам", - говорится в пояснительной записке к проекту постановления. В частности, предполагается исключить из значимых объектов критической информационной инфраструктуры те, которые обеспечивают функционирование населенных пунктов с численностью населения менее 10 тысяч человек.

Раннее, напомним, очень часто законодательство по защите КИИ критиковали за то, что реализация защитных мер может обойтись дороже, чем потери от возможного ущерба. В итоге ситуация, когда категория объекта искусственно занижалась, была из разряда типовых, как отметил заместитель руководителя Управления ФСТЭК России по Приволжскому федеральному округу Владимир Хачинян в ходе своего выступления на конференции "Инфофорум Прикамье", посвященного разбору типовых ошибок при категорировании объектов.

Также сторонние организации, которые согласно постановлению №1463, принятому 19 августа текущего года могут привлекаться к мониторингу контроля предоставления достоверных сведений субъектами КИИ, получили ряд дополнительных полномочий. В частности, их представители могут посещать объекты КИИ и на месте изучать особенности их эксплуатации.

Утверждается, что реализация мер, изложенных в документе, не потребует дополнительных расходов для федерального бюджета.

"Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав методические материалы ФСТЭК вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу", - предупреждает управляющий партнер RTM Technologies Евгений Царев.

Яков Шпунт