26 февраля вышло Распоряжение Правительства РФ № 360‑р, утвердившее перечень типовых отраслевых объектов критической информационной инфраструктуры.
Во‑первых, поменялся подход к категорированию: теперь организациям нужно просто проверить, есть ли их объекты в перечне соответствуют ли функционал и процессы для этих объектов. В список включены ERP‑системы (для ряда отраслей) и системы условного доступа к телевещанию. Перечень не исчерпывающий — новые объекты будут вноситься регулятором.
Во‑вторых, наличие объекта в перечне типовых не делает его автоматически значимым: категорирование по ПП‑127 остаётся обязательным, как и сроки пересмотра категорий — раз в пять лет. Информация о вновь выявленных объектах направляется регулятору незамедлительно.
В дополнение, полугодовая оценка уровня защищённости должна быть формализована, а её результаты предоставлены во ФСТЭК — иначе это уже регуляторный риск. Слабая доказательная база, отсутствие актуальных политик, регламентов, отчётов, результатов пентестов и учений повышает вероятность «красного» уровня степени ЗИ, что почти всегда ведёт к внеплановой проверке и возможной административной или уголовной ответственности руководства.
Что делать дальше? Импортозамещение: новые объекты КИИ должны попасть в план переоснащения по ПП‑1912. Нашли объект, не рассматривавшийся ранее, в перечне – категорируем по ПП‑127. Сроки подачи информации о новых объектах — незамедлительно.
#ЭкспертноеМнение #МыслиАраваны