Верхнее

Categories Archives: Частые вопросы

Частые вопросы по теме безопасности критической информационной инфраструктуры Российской Федерации.

Частые вопросы про безопасность КИИ и 187-ФЗ

Категорирование

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):

III категория значимости — более 0,001, но менее или равно 0,05;

II категория значимости — более 0,05, но менее или равно 0,1;

I категория значимости — более 0,1.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год — 19 969,3 млрд. руб.
      • 2020 год — 20 218,6 млрд. руб.
      • 2021 год — 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 513,92 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. — 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
      • Общая сумма налоговых платежей, руб — 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098 < 0,0001, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Комиссия

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Персонал

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Load More

Continue Reading