Постановление Правительства РФ от 20 декабря 2022 года № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2019 № 127» утвердило изменения в Правила категорирования объектов КИИ. Ключевые изменения вступили в силу со дня их официального опубликования. Отметим дополнительную ответственность, возложенную на государственные органы и российские юридические лица по мониторингу предоставления актуальных и достоверных сведений объектов критической информационной инфраструктуры (далее – КИИ) подведомственных организаций.
Постановление Правительства РФ № 127 значительные перемены не затронули. Основные изменения были внесены в перечень показателей критериев значимости объектов КИИ РФ и их значений:
Показатель категорирования № 3 теперь применим к транспортным средствам, в том числе высокоавтоматизированным (беспилотный транспорт).
«Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств».
Добавилось новое значение показателя категорирования № 5, который применим к учреждениям, оказывающим государственные услуги.
«Отсутствие доступа к государственной услуге, оцениваемое во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)».
Организации оборонно-промышленного комплекса включены в перечень субъектов КИИ, для которых применим показатель категорирования № 8.
«Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)».
Ужесточились значения показателя категорирования № 9, который касается снижения выплат в бюджет РФ.
Нижним пороговым значением для присвоения третьей категории значимости теперь является ущерб бюджету РФ в размере 81,6 млн. рублей, что значительно расширяет количество потенциальных субъектов КИИ по данному показателю.
Была изменена формулировка показателя категорирования № 10, касающаяся финансовых организаций.
Теперь «прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оценивается среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц)».
Расширилась применимость показателя категорирования № 10, касающаяся финансовых организаций – были добавлены 5 новых видов организаций, являющихся:
· центральными контрагентами;
· центральными депозитариями и регистраторами финансовых транзакций;
· негосударственными пенсионными фондами;
· страховыми организациями;
· операторами услуг информационного обмена (некредитными организациями).
Внесено уточнение в значение Показателя категорирования 13.б). Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции.
Обращаем внимание, что в соответствии с пунктом № 21 постановления Правительства РФ № 127, субъект КИИ в случае изменения показателей и/или значений критериев значимости объектов КИИ осуществляет пересмотр установленных категорий значимости или решения об отсутствии необходимости присвоения категории значимости. Это означает, что субъекты КИИ, осуществившие категорирование ранее, теперь должны провести перекатегорирование в соответствии с новыми показателями.
Владислав Вахлаков, ведущий специалист отдела аудита Infosecurity
Показатель категорирования № 3 теперь применим к транспортным средствам, в том числе высокоавтоматизированным (беспилотный транспорт).
«Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств».
Добавилось новое значение показателя категорирования № 5, который применим к учреждениям, оказывающим государственные услуги.
«Отсутствие доступа к государственной услуге, оцениваемое во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом)».
Организации оборонно-промышленного комплекса включены в перечень субъектов КИИ, для которых применим показатель категорирования № 8.
«Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период)».
Ужесточились значения показателя категорирования № 9, который касается снижения выплат в бюджет РФ.
Нижним пороговым значением для присвоения третьей категории значимости теперь является ущерб бюджету РФ в размере 81,6 млн. рублей, что значительно расширяет количество потенциальных субъектов КИИ по данному показателю.
Была изменена формулировка показателя категорирования № 10, касающаяся финансовых организаций.
Теперь «прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оценивается среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц)».
Расширилась применимость показателя категорирования № 10, касающаяся финансовых организаций – были добавлены 5 новых видов организаций, являющихся:
· центральными контрагентами;
· центральными депозитариями и регистраторами финансовых транзакций;
· негосударственными пенсионными фондами;
· страховыми организациями;
· операторами услуг информационного обмена (некредитными организациями).
Внесено уточнение в значение Показателя категорирования 13.б). Субъектам КИИ, выполняющим гособоронзаказ, теперь следует рассчитывать увеличение времени изготовления для единицы продукции.
Обращаем внимание, что в соответствии с пунктом № 21 постановления Правительства РФ № 127, субъект КИИ в случае изменения показателей и/или значений критериев значимости объектов КИИ осуществляет пересмотр установленных категорий значимости или решения об отсутствии необходимости присвоения категории значимости. Это означает, что субъекты КИИ, осуществившие категорирование ранее, теперь должны провести перекатегорирование в соответствии с новыми показателями.
Владислав Вахлаков, ведущий специалист отдела аудита Infosecurity
