Как идеально провести общественное обсуждение законопроекта? Очень просто: указать датой его начала 28 декабря, датой окончания независимой антикоррупционной экспертизы – 3 января и датой окончания – 11 января. И тогда самые широкие массы смогут поучаствовать в обсуждении – у них как раз выходные, которые они могут со спокойной совестью потратить на общественное обсуждение. Именно такое «идеальное» общественное обсуждение было проведено в новогодние каникулы 2019 г. для законопроекта №01/01/12-18/00087408 с мало говорящим названием «О внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127» [1]. Но на самом деле, речь идет о постановлении, которое определяет процесс категорирования объектов критической информационной инфраструктуры (КИИ).
В этом документе как раз и содержатся те изменения, о которых общественность предупреждали и Виталий Лютиков, заместитель директора ФСТЭК России, и Игорь Качалин, заместитель начальника центра ФСБ России, на SOC-Forum [2]. В первую очередь, в проекте постановления предполагается установление четких временных сроков: до 1 июня 2019 г. должны быть сформированы перечни объектов критической инфраструктуры, а срок категорирования сокращается до полугода. Это означает, что процесс присвоения категорий для всех объектов критической инфраструктуры в России должен быть завершен до конца текущего года, конечно если новое постановление будет принято Правительством РФ.
Причем в новой версии постановления зафиксировано, что перечень объектов должен быть согласован: «Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ». Это означает, что до 10 июня подобные перечни все-таки стоит согласовать и отправить во ФСТЭК (десять дней дается на доведение утвержденного перечня до ведомства).
Существенно изменилось положение о комиссии по категорированию – она становится постоянно действующей и может дополняться любыми специалистами, в том числе из финансово-экономических отделов. Последние давно уже освоили методику управления рисками, поэтому их участие в комиссии, где оценивается ущерб, вполне логично. Постоянно действующая комиссия необходима для регулярной переоценки ущерба и рисков, чтобы оценивать новые и модифицируемые объекты инфраструктуры. В новых правилах даже установлены условия расформирования комиссии: субъект КИИ перестал быть субъектом КИИ, критические процессы перестали быть критическими, объекты КИИ перестали принадлежать субъекту КИИ и субъект КИИ перестал быть (ликвидирован или реорганизован).
Кроме того, предоставляется возможность для сложных компаний с большим количеством филиалов и представительств создавать региональные комиссии для категорирования соответствующих подразделений. Количество таких комиссий не регламентировано, но на центральную возлагается ответственность по координации действий всех подчиненных – результат должно выдать головное предприятие. Не совсем понятно, можно ли это правило применять для холдинговой структуры, где формально предприятия не являются филиалами и представительствами. Для холдинга было бы удобно, если бы одна компания и созданная в ней комиссия занималась бы категорированием всех предприятий, входящих в группу.
Следует отметить, что значительно изменилось приложение (показатели ущерба), по которому определяется категория объектов. В частности, для транспортной и телекоммуникационных сфер изменены территориальные показатели: из оценки удалены муниципальные образования численностью до 2 тыс. человек для транспорта и до 3 тыс. человек для связи, но порог попадания в значимые объекты снижен для этих отраслей в 25 и 17 раз соответственно. Компаниям из названных сфер, скорее всего, придется пересматривать категории значимости. Для этого случая в новом варианте постановления указывается, что «субъект КИИ не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий…» Фактически это означает, что при вступлении изменений в силу комиссиям по тем 500 объектам, которые уже зарегистрированы во ФСТЭК, скорее всего, придется заново проводить процедуру категорирования, поскольку изменены показатели критериев значимости. Интересно, а как часто Правительство РФ рассчитывает менять критерии значимости? Будем надеяться, что реже, чем раз в пять лет. Так что сейчас, до окончательного принятия новой версии постановления, субъектам КИИ лучше не торопиться с завершением процедуры категорирования, чтобы потом не переделывать уже по новым критериям.
[1] https://regulation.gov.ru/projects#npa=87406
