Верхнее

ЧаВо Archive

Как корректно посчитать показатель 9 из перечня показателей критериев значимости (ущерб бюджетам РФ)?

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):

III категория значимости — более 0,001, но менее или равно 0,05;

II категория значимости — более 0,05, но менее или равно 0,1;

I категория значимости — более 0,1.

Важно: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Приведенные ниже примеры необходимо актуализировать с учётом сумм, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год — 19 969,3 млрд. руб.
      • 2020 год — 20 218,6 млрд. руб.
      • 2021 год — 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 513,92 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. — 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
      • Общая сумма налоговых платежей, руб — 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098 < 0,0001, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.
Continue Reading

Как включить в состав Комиссии по Категорированию юристов, бухгалтеров и риск-менеджеров?

Согласно Правил Категорирования объектов КИИ (утв. Постановлением Правительства №127 от 08.02.2018) в состав Комиссии по Категорированию включаются в том числе:

работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности

А также могут включаться:

представители государственных органов и российских юридических лиц, выполняющих функции по … нормативно-правовому регулированию в установленной сфере деятельности

Возникновение ущерба бюджетам Российской Федерации является одним из показателей критериев значимости объектов КИИ и, учитывая, что ведением бухгалтерского и налогового учета занимается бухгалтерия Субъекта КИИ, для оценки возможного ущерба необходимо привлечение главного бухгалтера/бухгалтерии, т.к. именно они являются специалистами в области ведения бухгалтерского и налогового учета конкретного Субъекта КИИ.

Привлекать для обеспечения грамотной трактовки требований и юридической правильности принимаемых Комиссией решений в рамках работы Комиссии представителей государственных органов будет не целесообразным, в качестве специалистов по нормативно-правовому регулированию в сфере деятельности конкретного СУбъекта КИИ, а также для обеспечения грамотной трактовки требований и юридической правильности принимаемых комиссией решений, целесообразно привлечение специалистов в области правовых вопросов (юристов).

Основной задачей Категорирования является оценка возможных последствий отдаленных и маловероятных событий, в том числе социальных и политических, в условиях неопределенности (отсутствия полной информации о возможных последствиях и сценариях их возникновения), что по сути является задачей идентификации и оценки рисков, в ходе которой надо соблюсти баланс интересов конкретного Субъекта КИИ (стоимости реализации защитных мер) и интересов государства (возможных последствий, если объект будут категорированы неправильно, и надлежащие меры защиты не будут приняты), необходимыми для выполнения такой оценки знания и навыки обладают специалисты по оценке рисков для деятельности компании (риск-менеджеры).

Вместе с тем,  п.11 Правил Категорирования (утв. Постановлением Правительства №127 от 08.02.2018) содержит исчерпывающий перечень работников, включаемых в Комиссию и не предусматривает «иных специалистов».

Однако, следует отметить, что в настоящее время подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127», которым предусмотрено дополнить Правила Категорирования пунктом 11.1. следующего содержания:

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные работники, ‎в том числе работники финансово-экономического подразделения.

При этом, на практике, уже сейчас для расчёта показателей экономической значимости объектов КИИ требуется участие специалистов финансово-экономического подразделения, не включенных в список п.11. Для решения указанной проблемы необходимо привлечение указанных специалистов к процедуре Категорирования в качестве экспертов для расчета соответствующих показателей и представления их для рассмотрения членами Комиссии по Категорированию.

Аналогичные соображения справедливы для юристов и риск-менеджеров: целесообразно их привлечение для работы в качестве «не членов Комиссии» для производства расчета необходимых показателей и юридической экспертизы документов в свете изложенных выше соображений.

Continue Reading

Каков порядок действий при модернизации ЗО КИИ, для которого уже была создана СБ ЗО КИИ?

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.8: «На стадиях (этапах) жизненного цикла в ходе создания (модернизации), эксплуатации и вывода из эксплуатации значимого объекта проводятся:
а) установление требований к обеспечению безопасности значимого объекта;
б) разработка организационных и технических мер по обеспечению безопасности значимого объекта;
в) внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие; …»

п.9: «…Модернизация или дооснащение подсистем безопасности значимых объектов осуществляется в порядке, установленном настоящими Требованиями для создания значимых объектов и их подсистем безопасности, с учетом имеющихся у субъектов критической информационной инфраструктуры программ (планов) по модернизации или дооснащению значимых объектов»

пп.в) п.13.4: «управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации».

Согласно Приказа ФСТЭК России №227 от 06.12.2017:

п.3: «… Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры»

Таким образом, при модернизации ЗО КИИ ответственными лицами (назначаемыми субъектом КИИ) должен быть проведен задокументированный анализ воздействия изменений на обеспечение безопасности ЗО, а также (при необходимости) пересмотр требований к обеспечению безопасности ЗО КИИ с дальнейшей их реализацией.

Если планируемые изменения не приводят к пересмотру требований и внедрению дополнительных мер по обеспечению безопасности ЗО КИИ, то это также должно быть задокументировано.

Кроме того, если в результате изменений информационной инфраструктуры объект перестает соответствовать критериям значимости и показателям их значений, то категория значимости объекта КИИ должна быть пересмотрена комиссией (п.12 ст.7 187-ФЗ от 26.07.2017). При этом в соответствии с п.3 Приказа ФСТЭК России №227 от 06.12.2017 о факте изменения категории необходимо уведомить регулятора путем повторной отправки сведений по форме Приказа ФСТЭК России №236 от 22.12.2017.

Continue Reading

Каковы требования к итоговому пакету документации по СБ ЗО КИИ?

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

абз.2 п.8: «Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом критической информационной инфраструктуры.».

Таким образом, субъект КИИ волен самостоятельно определять, каким образом будет оформлен пакет документов по реализации мер по обеспечению информационной безопасности значимых объектов КИИ.

С практической точки зрения сопровождения и поддержания проектной документации в актуальном состоянии, удобнее, когда формируется единый пакет проектной документации, объединяющий реализованные меры защиты на всех объектах.

Continue Reading

Допустимо ли меры из Приказа ФСТЭК №239 реализовывать общим мероприятием для нескольких объектов КИИ сразу или нужно их реализовывать для каждого объекта отдельно?

Согласно Приказа ФСТЭК России №239 от 25.12.2017:

п.11 «Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры… в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта»

пп.ж) п.11.2: «При проектировании подсистемы безопасности значимого объекта … определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта…»

п.11.2: «Результаты проектирования подсистемы безопасности значимого объекта отражаются в проектной документации на значимый объект (подсистему безопасности значимого объекта)»

Согласно Приказа ФСТЭК России №235 от 21.12.2017:

п.3: «… По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности»

Таким образом, можно сделать вывод о том, что если централизованная реализация подсистем безопасности обеспечивает адекватную защиту значимых объектов КИИ, то такая реализация возможна. При этом все реализованные меры защиты должны быть отражены в проектной документации.

Например, допустима реализация единой системы антивирусной защиты, охватывающей несколько объектов КИИ.

Continue Reading

Являются органы местного самоуправления (ОМСУ) субъектами КИИ?

В определении субъектов критической информационной инфраструктуры из 187-ФЗ фигурируют только (список закрытый):

государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели

Органы местного самоуправления, не попадающие ни под один из пунктов этого списка, таким образом, формально под определение не попадают.

Такое же мнение высказывают представители ФСТЭК, указывая в публичных выступлениях, что ОМСУ не являются субъектами КИИ:

ФСТЭК - типовые недостатки пр формировании Перечней

ФСТЭК — типовые недостатки пр формировании Перечней

Continue Reading

Что предпринять, если ни один из ОКВЭД организации не попал в сферы действия из 187-ФЗ?

Если организация никакой иной деятельности в других сферах не ведёт и соответствующих информационных систем у неё нет, то есть смысл создать Комиссию, которая данный вопрос рассмотрит и примет обоснованное решение о том, что организация не является Субъектом КИИ. Полезно иметь такое готовое обоснование принятого решения на случай возникновения вопросов от контролирующих органов.
Необходимо только не забыть только указать ещё в решении Комиссии, что организация также не осуществляет взаимодействие систем из п.8 ст.2 187-ФЗ: «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности».
Continue Reading

Как правильно организовать категорирование в случае наличия филиалов — достаточно одной комиссии или же нужно создавать несколько?

Согласно требованиям законодательства категорирование проводится субъектом критической информационной инфраструктуры (КИИ) самостоятельно. Субъектом КИИ по определению могут являться государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели. Соответственно, если филиалы являются отдельными юрлицами, то и создавать комиссии, проводить категорирование и направлять его результаты во ФСТЭК они должны самостоятельно. На обмен опытом и шаблонами документов, понятно, запрет при этом не налагается. Если же под филилами подразумеваются обособленные подразделения юридического лица, расположенные вне места его нахождения, то они согласно ст. 55 Гражданского кодекса не являются самостоятельными юридическими лицами и свои отдельные комиссии создавать не должны.
Continue Reading

В каком виде нужно направлять Перечень объектов КИИ, подлежащих категорированию?

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Continue Reading

В каком виде нужно направлять результаты категорирования объектов КИ??

ФСТЭК очень просит субъектов КИИ прикладывать к переписке все Перечни и формы уведомления о результатах категорирования в электронном виде. Очень трудоемко для них вбивать в ручную.

Источник: блог Валерия Комарова

Continue Reading