Правительство хочет разделить предприятия на категории по степени опасности для компьютерных атак

После утверждения документов, комиссия по категорированию будет оценивать масштаб возможных последствий в случае возникновения компьютерных атак ‎и компьютерных инцидентов на всех объектах критической информационной инфраструктуры (КИИ).

Документы опубликованы 25 июня на Портале проектов нормативных правовых актов и сейчас находятся на стадии общественного обсуждения. Mashnews направил запрос в Минпромторг и ждет ответа.

«Отраслевые особенности категорирования объектов критической информационной инфраструктуры» готовятся, поскольку с 1 сентября 2025 года в Закон о безопасности критической инфраструктуры вносятся поправки, в связи с тем, что правительство РФ устанавливает перечни типовых отраслевых объектов КИИ, объяснила юрист практики по интеллектуальной собственности/информационным технологиям адвокатского бюро «Качкин и Партнеры» Ольга Новинская.

Общие правила определения объектов критический информационной инфраструктуры существовали и раньше, но установить, какие именно объекты относятся к КИИ, как оценивать риски и проводить категорирование, было сложно — возникала «серая зона», добавил управляющий директор ООО «РусЭнергоПроект» Максим Канищев, международный эксперт по энергоэффективности и декарбонизации промышленности.

«Почему новые нормы появились сейчас? Ограничение доступа к иностранным технологиям резко повысило значимость информационной безопасности для промышленности. Теперь она напрямую влияет на безопасность процессов, выполнение госзаказа и стабильность поставок. Стало необходимостью четкое определение объектов КИИ, уход от оценки «на глаз»», — отметил Канищев.

Новые документы вводят критерии для определения категории объекта, добавил он. Среди этих критериев системы управления опасными производствами, хранения токсичных веществ, мощность ключевого оборудования, длительность критического простоя и так далее. Соответствие критериям автоматически приведет к высокой категории значимости (I или II). Это означает необходимость введения более строгих требований: обязательный план защиты КИИ, сегментацию сетей, использование только сертифицированных средств защиты информации, запрет на иностранное ПО.

Проекты нормативных актов устанавливают и условия отнесения объекта критической инфраструктуры к соответствующей сфере промышленности, поясняет Ольга Новинская. Для оборонной деятельности как условие упоминается работа предприятия в рамках государственного оборонного заказа.

В документах определены методы оценки возможного ущерба объекту критической инфраструктуры, бюджету, людям или имуществу третьих лиц. Для каждого вида ущерба приводятся формулы расчета, говорит юрист.

Максим Канищев уточнил, что теперь предприятиям предстоит провести инвентаризацию: создать комиссию по категорированию, пересмотреть ИТ и технологические системы на соответствие новым критериям. Кроме этого, надо определить, какие объекты теперь подпадают под КИИ и их категорию. И заложить финансы на модернизацию защиты объектов КИИ, особенно впервые отнесенных к I/II категории.

«Это приведет к росту спроса на консалтинг, инвентаризацию ИТ/АСУ ТП, аудит, внедрение российских ИБ-решений и АСУ ТП (автоматизированная система управления технологическим процессом — прим. ред.). Перспектива: детализация критериев КИИ продолжится. В зоне внимания — машиностроение, авиастроение, фармацевтика, АПК, ЖКХ. Там, где растет цифровизация и риски сбоев критичны, государство будет конкретизировать требования ФЗ-187 в («О безопасности критической инфраструктуры РФ»)», — резюмировал Канищев.

Общественное обсуждение проектов документов должно составлять не менее 15 календарных дней. Этот срок устанавливает разработчик нормативных актов — в нашем случае Минпромторг РФ, говорит Новинская. Затем проекты будут рассматриваться в правительстве РФ.