ФСТЭК продолжает перестраивать архитектуру регулирования критической информационной инфраструктуры (КИИ). 4 июня опубликован проект изменений к Постановлению Правительства №127, который подгоняет правила категорирования под новую редакцию закона №187-ФЗ (не вступил в силу) и принятый этой весной закон №58-ФЗ (тоже пока не вступил).
Обсуждение документа продлится до 24 июня, но компании уже сейчас должны быть готовы к переоценке своих объектов КИИ — новая модель категорирования вступит в силу с 1 сентября 2025 года.
Что меняется в категорировании объектов КИИ:
Отраслевая специфика вместо формулы
Методика категорирования перестаёт быть универсальной, в чём собственно и были сложности почти у всех. Вводятся отраслевые перечни типовых объектов КИИ, которые утверждаются профильными ведомствами. Сказать, что больше не будет проблем применения методики категорирования, было бы очень смело и оптимистично, но больше их станет вряд ли
Категории
Больше не надо стоять с задумчивым видом в кабинете и думать “это и к нам тоже относится?”. Категория значимости теперь определяется не только субъективной оценкой влияния. В первую очередь нужно будет сравниться с типовым перечнем, а только потом с установленными критериями.
Автономия субъектов
Да, конечно, теперь не придется согласовывать с ФСТЭК перечень того, что вы наопределяли. Но всё же это не избавляет вас от определения категории значимости для объектов не перечисленных в типовом перечне. Если у вас вдруг обнаружился значимый объект КИИ, который по каким-то причинам не внесен в типовой перечень — его нужно будет отдельно описать, присвоить ему категорию значимости, в соответствии с методикой и критериями и направить предложение о внесении изменений отраслевой список КИИ.
