В какой-то части наш обзор будет пересекаться с нашей публикацией от 4 марта, поскольку Приказ № 26 можно рассматривать как развитие темы повышения безопасности объектов КИИ. 

4 марта, освещая изменения в правилах категорирования объектов КИИ, внесенные постановлением Правительства РФ № 2431, мы упоминали о рассмотрении тогда еще проекта Приказа № 26. Мы говорили о том, что в случае его подписания в текущей редакции, для ЗОКИИ срок направления уведомления об изменениях сократится с 20 до 10 рабочих дней. К счастью для владельцев ЗОКИИ, ФСТЭК принял решение оставить одни и те же сроки для значимых и незначимых ОКИИ – 20 рабочих дней для всех.

Какие же изменения были внесены в Приказ ФСТЭК № 227?

1. В пункт 6, регулирующий порядок образования регистрационного номера для ОКИИ, вносимых в Реестр, под номером 13 добавлена такая сфера деятельности, как «…топливно-энергетический комплекс (за исключением энергетики)».
2. Второе изменение касается пункта 8, который устанавливает обязанность информировать ФСТЭК об изменениях сведений о ЗОКИИ. Если быть более точными, то именно в утратившей силу редакции Приказа № 26 шла речь о ЗОКИИ.

Теперь в этом пункте содержится отсылка к нормам Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, а именно:

«…в случае изменения сведений, указанных в подпунктах “а” – “е” пункта 17 Правил… субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее 20 рабочих дней со дня их изменения на бумажном и электронном носителях».

То есть, речь идет уже не только о ЗОКИИ, но в принципе о субъектах КИИ вообще.

Если вы субъект КИИ, то направляете уведомление во ФСТЭК в случаях, когда изменены:

1. сведения об объекте критической информационной инфраструктуры;
2. сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;
3. сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;
4. сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;
5. сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии);
6. сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз.

Также интересны изменения в пункте 12, относительно того, что сведения из Реестра будут предоставляться:

«…государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере…» «ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах)».

Ранее эта часть звучала так: «… по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах…», отнесенных в компетенции этих государственных органов или российских юридических лиц.

Иными словами, теперь привязка по компетенциям проходит по принципу принадлежности субъекта, а не объекта КИИ, что, на наш взгляд выглядит более логично.