Постановление Правительства Российской Федерации от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» было опубликовано 16 апреля 2019 года. Документ определил срок утверждения субъектами КИИ перечня объектов критической информационной инфраструктуры (ОКИИ), подлежащих категорированию — до 1 сентября 2019 года. Причем, если для коммерческих компаний эта дата указана, как рекомендуемая, то государственные органы и учреждения обязаны передать список объектов регулятору в указанный срок.
По данным Softline, лидером в области защиты критической инфраструктуры на данный момент является Уральский федеральный округ – здесь реализуется порядка 40% от общего числа таких проектов. На втором месте Москва и Московская область, на третьем – Сибирь. Меньше всего проектов по приведению ИТ-инфраструктуры в соответствие с ФЗ-187 пока заявлено в Южном федеральном округе.
«До того момента, пока отсутствовали четкие сроки передачи данных регулятору, организации не спешили со стартом проектов. Появление нового документа привело к всплеску интереса как со стороны государственных организаций, так и от коммерческих заказчиков – нам стало приходить почти втрое больше заявок на проработку таких проектов. А число проектов, вышедших на этап конкурса, за эти два месяца возросло на 40%. Владельцы бизнеса понимают, что в случае возникновения инцидента вряд ли будет сделана скидка на то, что сроки проведения категорирования были обозначены как рекомендованные. Они не хотят рисковать своими деньгами и репутацией и стремятся привести ИТ-инфраструктуру в соответствие с требованиями регуляторов как можно скорее. А руководители государственных учреждений дорожат прежде всего личной репутацией», - говорит Максим Прохоров.
Еще одним фактором, повлиявшим на скорость реализации проектов в области КИИ, стали поправки в Кодекс административных правонарушений, которые вступают в силу в начале следующего года. В новой редакции КоАП увеличены суммы штрафов за неисполнение требований законодательства и определена персональная ответственность сотрудников, по чьей вине произошло нарушение. Ранее в законе была определена также ответственность за возникновение инцидента по причине неисполнения требований регулятора вплоть до уголовной и отстранение виновного должностного лица от работы по специальности на срок до пяти лет.
В отраслевом топе по реализации проектов по защите КИИ оказались медицинская и транспортная отрасль. Эксперт Softline пояснил, что именно они могут оказаться в первой волне проверок регуляторов за счет специфики обрабатываемой информации (большое количество персональных данных) и высокого риска для жизни и здоровья людей в случае возникновения инцидента. Высокую степень готовности к перестройке ИТ-инфраструктуры проявляют также научные организации, но у них реализация проектов часто тормозится отсутствием необходимых бюджетов.
«На проведение категорирования выделено совсем немного времени, при этом, оно должно быть выполнено качественно», - добавляет Максим Прохоров, - «Часто организации сталкиваются внутри коллектива с непониманием индивидуальной погруженности в проработку выполнения требований регулятора, причина – обширное количество разработанных нормативно-правовых актов, подкрепляющих ФЗ: отдельно взятый сотрудник может трактовать их по-своему. Важно, чтобы все члены рабочей группы при реализации проекта выполняли работы комплексно и осознавали степень персональной ответственности. Наша компания разработала трехдневный обучающий курс по ФЗ-187, который позволяет всем задействованным сотрудникам глубоко разобраться в теме. В том же случае, если вы решили привлечь к работе ИТ-консультанта, внимательно изучите его опыт работы и отзывы заказчиков в части реализации закона о защите КИИ. Ответственность надежного ИТ-провайдера не должна ограничиваться передачей списка категорий заказчику. В своих проектах Softline закладывает еще год на доработку проекта и устранение возможных замечаний по итогам проверок регуляторов».
Напомним, что 187 Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» вступил в силу 1 января 2018 года. В документе был утвержден полный перечень объектов КИИ и установлена ответственность (вплоть до уголовной) за невыполнение требований по защите информационной инфраструктуры предприятий и последствий этих нарушений. Закон регулирует меры по обеспечению кибербезопасности в организациях, работающих в сфере здравоохранения, транспорта, науки, финансов, промышленных и других объектах (список довольно обширен).