В этом году 1 сентября дети идут в школу, а объекты КИИ – в реестр!
Почему так?
Согласно ФЗ N 187 "О безопасности критической информационной инфраструктуры Российской Федерации" и Правилами категорирования объектов КИИ РФ, утвержденными Постановлением правительства РФ (ПП РФ N 127 от 8 февраля 2018 г.):
- п. 2 и 3 ПП РФ – установлен срок утверждения перечня объектов критической информационной инфраструктуры, подлежащих категорированию, - 1 сентября 2019 г.
- п. 15 Правил – максимальный срок категорирования объектов критической информационной инфраструктуры, который не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию (внесения в него изменений).
Исходя из этих двух пунктов, Ваш перечень объектов должен
был быть подан в прошлом году до 1 сентября, а в этом году до 1 сентября их
необходимо категорировать.
ВАЖНО! В ПП 127 направление сведений о результатах категорирования во ФСТЭК ─ не является процессом категорирования!
Что мне за это будет?
Несмотря на отсутствие категорирования, в случае инцидентов,
статья 274.1 УК РФ все равно распространяется на Ваши объекты.
Также сейчас проходит стадию публичных обсуждений проект
внесения поправок в КоАП, в том числе в проекте есть статья, предусматривающая
в случае непредставления или нарушения сроков представления в ФОИВ,
уполномоченных в области обеспечения безопасности КИИ РФ, сведений о
результатах присвоения объекту КИИ РФ одной из категорий значимости либо об
отсутствии необходимости присвоения ему одной из таких категорий, штраф для
должностных лиц от 10 до 50 тыс. рублей, а для юридических лиц – от 50 до 100 тыс.
рублей. Кстати, штраф может быть применен неоднократно. Поэтому затягивать с
категорированием не рекомендуем.
Какие типовые ошибки возникают при категорировании КИИ?
Типовыми ошибками при категорировании и подготовке сведений
о результатах являются: заполнение не всех полей в форме Сведений, а также
предоставление Актов категорирования вместо формы Сведений. Для предоставления
во ФСТЭК нужны НЕ акты, а особая форма, определенная приказом ФСТЭК России №
236!
Также к типичным недочетам можно отнести отсутствие
обоснований неприменимости показателей критериев значимости.
Кроме того, часто можно наблюдать отсутствие реквизитов из
сертификатов СЗИ (Средств защиты информации) и отсутствие конкретики в
показателях для категорируемого объекта. Например: «Снижение доходов в
федеральный бюджет менее 0,001%». А как надо? «Снижение доходов в федеральный
бюджет 0,0007%»
Что у других?
По словам руководителя ФСТЭК, Виталия Сергеевича Лютикова: к
31 января 2019 года более 1800 субъектов КИИ осуществляли категорирование своих
объектов. Также Виталий Сергеевич оценил, что это примерно 15% от общего числа
субъектов КИИ. Путем нехитрых исчислений можно видеть, что субъектов КИИ
насчитывается около 12 000.
Специалисты ЦЗИ Шартрез еще в декабре 2019 года подсчитали,
что по Архангельской области порядка 1400 юридических лиц, чьи ОКВЭД связаны с
КИИ. Невозможно подсчитать сколько организаций не подали перечень и не осуществили
категорирование. Известно лишь, что часть юридических лиц на настоящий момент
этого не сделали. Однако, работая по вопросам КИИ с 2018 года, на сегодняшний
день можем сказать точно ─ спрос на консультации по категорированию только
растет и намекает на еще более стремительный рост. А вместе с этим ─ риск не
успеть в сроки.
Специалисты ЦЗИ Шартрез:
Мария Иванова и Надежда Третьякова
Комментариев нет:
Отправить комментарий