В какой срок субъект кии должен направить в фстэк сведения об объекте в случае их изменения

Новые изменения в области категорирования критической информационной инфраструктуры

В конце декабря 2022 года утверждены новые требования соблюдения актуальности сведений по категорированию критической информационной инфраструктуры (КИИ):

«О внесении изменений в отдельные законодательные акты Российской Федерации» внесены поправки в статью 19.7.15 КоАП, определяющие ответственность за предоставление недостоверных сведений о результатах категорирования объектов КИИ и ответственность за повторное аналогичное правонарушение. «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127» внесены ряд изменений в процедуру категорирования объектов КИИ и показатели критериев их значимости.

Основные положения:

Согласно новой редакции статьи 19.7.15 КоАП административная ответственность возникает за непредставление, нарушение сроков представления, представление недостоверных сведений о результатах категорирования объектов КИИ в ФСТЭК России, а также за повторное указанное правонарушение.

Напоминаем также, что согласно требованиям пункта 19.1 постановления Правительства N 127 при изменении сведений об объекте КИИ, направленных во ФСТЭК, необходимо предоставить во ФСТЭК обновленные сведения по объекту КИИ не позднее 20 рабочих дней со дня их изменения.

С 21 марта 2023 года вступают в силу требования постановления Правительства N 2360 (новая редакция постановления Правительства N 127) по использованию перечней типовых отраслевых объектов КИИ, мониторингу подведомственных субъектов КИИ, информированию ФСТЭК о нарушениях подведомственных субъектов КИИ, а также по изменению состава показателей критериев значимости.

Напоминаем также, что согласно требованиям пункта 19.1 постановления Правительства N 127 Субъект КИИ в случае изменения показателей критериев значимости или их значений осуществляет пересмотр процедуры и результатов категорирования объектов КИИ. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в ФСТЭК.

Комментарии к изменениям в правила категорирования объектов КИИ и перечень показателей критериев значимости

21 декабря 2022 г. официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 № 2360, утверждающее изменения в правила категорирования объектов КИИ и перечень показателей критериев значимости (постановление Правительства Российской Федерации от 08.02.2018 № 127).

В рамках постановления Правительство Российской Федерации вносит ряд значительных изменений, усиливающих ведомственный мониторинг и влекущих за собой необходимость выполнения субъектами КИИ ряда мероприятий.

1. Изменения, вступающие в силу со дня подписания

Со дня подписания (20.12.2022) вступают в силу изменения в перечень показателей критериев значимости (изменения приведены в приложении к настоящим комментариям). Согласно пункту 21 постановления, «Субъект КИИ <…> в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий».

Следовательно, субъектам КИИ необходимо в ближайшее время провести повторное категорирование принадлежащих им объектов КИИ в соответствии с обновленными значениями и вновь введенными показателями критериев значимости.

1.1. Изменения в показатели критериев значимости

Показатель №3: формулировка изменена на «Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств». Это означает необходимость применения критерия не только к объектам инфраструктуры (вокзалы, порты и т.д.), но и к транспорту – поездам, судам, самолетам и т.д.

Показатель № 8: формулировка изменена на «Возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием <…>». Расширение формулировки показателя распространяет его применимость на предприятия, включенные в сводный реестр организаций оборонно-промышленного комплекса (утвержден приказом Минпромторга России от 18.05.2022 № 1981, не подлежит публикации).

Показатель № 9: значительно изменены пороговые значения оценки ущерба бюджетам Российской Федерации. В соответствии с предлагаемыми изменениями, объекты КИИ, ранее получившие III категорию значимости по данному показателю, становятся объектами КИИ I категории значимости.

Показатель № 10: исключено пороговое значение для III категории значимости. Это означает, что, при возможном прекращении или нарушении проведения клиентами операций по переводу денежных средств, объекты КИИ автоматически получают III (либо выше) категорию значимости.

Показатель 13.б): формулировка изменена на «в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объемом <…>».

1.2. Новые показатели критериев значимости

Добавлены следующие показатели критериев значимости:

Показатель 5.б) – время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.

Показатель 10 1 – прекращение либо нарушение проведения операций по исполнению обязательств центральным контрагентом;

Показатель 10 2 – прекращение либо нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;

Показатель 10 3 – прекращение либо нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;

Показатель 10 4 – прекращение либо нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;

Показатель 10 5 – прекращение либо нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.

1.3. Актуализация сведений об объектах КИИ

Требование об актуализации сведений в случае их изменения теперь распространяется на все сведения об объекте КИИ. Следовательно, подавать актуальные сведения во ФСТЭК России (по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236) необходимо в течение 20 рабочих дней в случае изменения следующих сведений:

данные об объекте КИИ;

данные о субъекте КИИ (в т.ч. об ответственных лицах);

данные о взаимодействии ОКИИ с сетями электросвязи;

данные об эксплуатантах объекта КИИ;

данные о составе объекта КИИ, используемых СрЗИ;

данные об актуальных УБИ объекта КИИ, категориях нарушителей, последствиях возникновения компьютерных инцидентов;

данные о присвоенной категории значимости, результатах оценки показателей критериев значимости;

данные о реализованных мерах по обеспечению безопасности объектов КИИ.

1.4. Осуществление мониторинга и актуальности достоверности сведений об объектах КИИ

Мониторинг актуальности и достоверности сведений теперь также осуществляется в отношении всех сведений, указанных выше. К такому мониторингу могут привлекаться подведомственные организации. Мониторинг подведомственных организаций осуществляется соответствующими ведомствами. Актуальность и достоверность сведений может подтверждаться как заочно, так и очно («путем ознакомления с объектами КИИ по месту их нахождения»).

Срок направления нарушений, выявленных в результате мониторинга, во ФСТЭК России – не позднее 30 дней со дня их выявления.

2. Разработка перечней типовых отраслевых объектов КИИ (изменения, вступающие в силу 21.03.2023)

Исходными данными для категорирования будут являться перечни типовых отраслевых объектов КИИ, которые могут формироваться гос. органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности. Разработка перечней типовых отраслевых объектов КИИ ранее анонсировалась Минцифры России. Следовательно, у каждой отрасли может появиться перечень типовых систем, которые обязательно должны входить в перечень категорируемых объектов КИИ. Вероятнее всего, при осуществлении мониторинга или государственного контроля отсутствие типовых объектов КИИ (и обоснований их отсутствия) будет считаться несоответствием Правилам категорирования.

3. Что необходимо сделать субъектам КИИ в связи с выходом постановления?

Подведем итог: в соответствии с внесенными изменениями, у субъектов КИИ возникли обязательства по проведению ряда мероприятий по выполнению требований обновленного порядка категорирования.

В качестве первостепенных задач для всех субъектов КИИ можно выделить:

Проведение повторного категорирования объектов КИИ в соответствии с обновленными показателями критериев значимости (согласно требованиям пункта 21 Правил категорирования) с учетом отраслевых перечней объектов КИИ (при их издании ведомствами).

Актуализация сведений об объектах КИИ на постоянной основе и направление их во ФСТЭК России в течение 20 дней после изменения состава, условий функционирования объектов КИИ или возможных последствий при возникновении на объектах КИИ компьютерных инцидентов.

Подготовка к возможному мониторингу актуальности и достоверности сведений об объектах КИИ со стороны отраслевых регуляторов и подведомственных им организаций.

Кроме того, возникает необходимость расчета вновь принятых показателей критериев значимости и уточнение результатов категорирования для следующих субъектов КИИ:

Организации, осуществляющие деятельность в сфере транспорта (по показателю 3).

Органы, предоставляющие гос. услуги, или подведомственные гос. органам организации, участвующие в предоставлении гос. услуг (по показателю 5.б).

Организации оборонно-промышленного комплекса (по показателю 8).

Центральные контрагенты (по показателю 10 1 ).

Центральные депозитарии и регистраторы финансовых транзакций (по показателю 10 2 ).

Негосударственные пенсионные фонды (по показателю 10 3 ).

Страховые организации (по показателю 10 4 ).

Операторы услуг информационного обмена (некредитные организации, по показателю 10 5 ).

Перечень измененных и вновь введенных показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

I. Социальная значимость

Прекращение 1) или нарушение функционирования 2) объектов транспортной инфраструктуры, транспортных средств, высокоавтоматизированных транспортных средств, оцениваемые:

а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;

в пределах территории одного муниципального образования (численностью от 2 тыс. чел.)
или одной внутригородской территории города федерального значения

выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения,
но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения

выход за пределы территории одного субъекта Российской Федерации

или территории города федерального значения

б) по количеству людей, для которых могут быть недоступны транспортные услуги
(тыс. человек)

более или равно 2,
но менее 1 000

более или равно 1 000, но менее 5 000

более или равно 5 000

Отсутствие доступа к государственной услуге, оцениваемое:

а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)

менее или равно 24,
но более 12

менее или равно 12, но более 6

менее или равно 6

б) в времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течении которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)

менее или равно 30

более 30, но менее или равно 70

III. Экономическая значимость

Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)

более или равно 1, но менее или равно 10

более 10, но менее или равно 20

Возникновение ущерба бюджету Российской Федерации или бюджету субъекта Российской Федерации, оцениваемого в снижении выплат (отчислений) в соответствующий бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета или бюджета субъекта Российской Федерации, усредненного за планируемый трехлетний период)

более 0,001 0,0003, но менее или равно 0,05 0,0006

более 0,05 0,0006, но менее или равно 0,1 0,001

Прекращение 1) или нарушение 1) проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений)

более 3, но менее или равно 70

более 70, но менее или равно 120

Прекращение 1) или нарушение 1) проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн. руб.)

более или равно 1, но
менее 10

более или равно 10

Прекращение 1) или нарушение 1) проведения учетных и расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. шт.)

более или равно 10, но менее 25

более или равно 25

Прекращение 1) или нарушение 1) проведения операций по выплатам, передачи и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд руб.)

более или равно 50, но менее 1000

более или равно 1000, но менее 2000

более или равно 2000

Прекращение 1) или нарушение 1) проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховыми организациями, оцениваемые объемом активов (млрд. руб.)

более или равно 100, но менее 1500

более или равно 1500, но менее 5000

более или равно 5000

Прекращение 1) или нарушение 1) выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся операторами услуг информационного обмена (некредитными организациями), которые оцениваются количеством заключенных договоров с кредитными организациями

более или равно 25, но менее 100

более или равно 100 но менее 150

более или равно 150

V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка

Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:

а) в снижении объемов выпуска единицы изделия (работ, услуг) в заданный период времени (процентов заданного объема продукции);

более 0, но менее или равно 10

более 10, но менее или равно 15

б) в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объемом (процентов установленного времени выпуска единицы изделия, выполнения работ, оказания услуг)

Комментарии Аналитического центра УЦСБ к изменениям в правила категорирования объектов КИИ и перечень показателей критериев значимости

Прекращение 1) или нарушение функционирования 2) объектов транспортной инфраструктуры, транспортных средств, высокоавтоматизированных транспортных средств, оцениваемые:

а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;

в пределах территории одного муниципального образования (численностью от 2 тыс. чел.)
или одной внутригородской территории города федерального значения

выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения,
но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения

выход за пределы территории одного субъекта Российской Федерации

или территории города федерального значения

б) по количеству людей, для которых могут быть недоступны транспортные услуги
(тыс. человек)

более или равно 2,
но менее 1 000

более или равно 1 000, но менее 5 000

более или равно 5 000

Отсутствие доступа к государственной услуге, оцениваемое:

а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)

менее или равно 24,
но более 12

менее или равно 12, но более 6

менее или равно 6

б) в времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течении которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)

менее или равно 30

более 30, но менее или равно 70

Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса , стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)

более или равно 1, но менее или равно 10

более 10, но менее или равно 20

Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)

более 0,001 0,0003, но менее или равно 0,05 0,0006

более 0,05 0,0006, но менее или равно 0,1 0,001

Прекращение 1) или нарушение 1) проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов – на основе прогнозных значений)

более 3, но менее или равно 70

более 70, но менее или равно 120

Прекращение 1) или нарушение 1) проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн. руб.)

более или равно 1, но
менее 10

более или равно 10

Прекращение 1) или нарушение 1) проведения учетных и расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. шт.)

более или равно 10, но менее 25

более или равно 25

Прекращение 1) или нарушение 1) проведения операций по выплатам, передачи и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд руб.)

более или равно 50, но менее 1000

более или равно 1000, но менее 2000

более или равно 2000

Прекращение 1) или нарушение 1) проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховыми организациями, оцениваемые объемом активов (млрд. руб.)

более или равно 100, но менее 1500

более или равно 1500, но менее 5000

более или равно 5000

Прекращение 1) или нарушение 1) выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся операторами услуг информационного обмена (некредитными организациями), которые оцениваются количеством заключенных договоров с кредитными организациями

более или равно 25, но менее 100

более или равно 100 но менее 150

более или равно 150

Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое:

а) в снижении объемов выпуска единицы изделия (работ, услуг) в заданный период времени (процентов заданного объема продукции);

более 0, но менее или равно 10

более 10, но менее или равно 15

б) в увеличении времени выпуска единицы изделия (работ, услуг) изготовления единицы продукции с заданным объемом (процентов установленного времени выпуска единицы изделия, выполнения работ, оказания услуг)

более 0, но менее или равно 10

более 10, но менее
или равно 40

Ваш провайдер знает о вас больше, чем ваша девушка? Присоединяйтесь и узнайте, как это остановить!

2.8.2. Согласование Перечня объектов КИИ и отправка в ФСТЭК России

56. На основании заключения об отнесении ИС, ИТКС, АСУ к потенциально значимым объектам КИИ организации сферы здравоохранения формируется и утверждается руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию <27>.

<27> Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

57. Форма Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведена в Приложении 12.

58. Перечень объектов КИИ организации сферы здравоохранения подлежит согласованию с органами управления государственной и муниципальной системами здравоохранения в части подведомственных им субъектов КИИ.

Согласование осуществляется в произвольной форме. Возможна передача в орган управления государственной или муниципальной системы здравоохранения запроса на согласование Перечня с приложением предварительно заполненной формы Перечня объектов КИИ, подлежащих категорированию, без утверждающей подписи руководителя организации сферы здравоохранения.

В случае получения от органа управления государственной или муниципальной системы здравоохранения замечаний или корректировок Перечня объектов КИИ, подлежащих категорированию, они должны быть рассмотрены постоянно действующей комиссией по категорированию. По результатам рассмотрения принимается решение о пересмотре Перечня объектов КИИ, подлежащих категорированию, и повторному согласованию с органом управления государственной или муниципальной системой здравоохранения. Отметка о согласовании на итоговом перечне, отправляемом в ФСТЭК России, не требуется.

59. Утвержденный руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в течение 10 (десяти) рабочих дней с сопроводительным письмом в произвольной форме направляется в ФСТЭК России <28> с приложением на носителе электронной копии Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в формате *.odt, *.ods. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации-отправителя.

<28> Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России.

Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведен в Приложении 17.