Проинспектировав 2700 субъектов КИИ, Минпромторг критически оценил выполнение требований по категорированию. Выездные проверки проводились с 2022 по 2024 год.
Результаты показали, что большинство субъектов КИИ в промышленности провели категорирование имеющихся у них объектов критической инфраструктуры с нарушениями, либо вообще не приступали к нему.
— заявил заместитель министра промышленности и торговли РФ Василий Шпак. Он подчеркнул, что всего лишь 20% субъектов КИИ выполнили все установленные требования по защите инфраструктуры.
Понятие критической информационной структуры было закреплено в № 187 - ФЗ в 2017 году. На текущий момент взаимодействие с КИИ регулируют более 15 нормативно-правовых документов. Согласно указу президента РФ Владимира Путина №166, госорганам и госкомпаниям с 1 января 2025 года запрещено использовать зарубежный софт на объектах КИИ.
Потенциально, критической информационной инфраструктурой может считаться организации или компания, работающая с ИС, ИТС, АСУ ТП в 13 сферах, включая ТЭК.
Правила категорирования, показатели критериев значимости, а также порядок и сроки проведения соответствующих работ установлены в ПП №127, уточнены в ПП №452.
Полномочиями идентифицировать себя в качестве субъекта КИИ наделён сам потенциальный субъект. Процесс инициируется руководителем предприятия, который собирает специальную комиссию для инвентаризации бизнес-процессов и выделения среди них критических. В течение 5 дней комиссия определяет перечень объектов КИИ; на непосредственное присваивание категорий отводится 1 год.
При присвоении категории, среди прочих, оцениваются социальная, экономическая и экологическая значимость. На предприятии могут быть ИС, АСУ т.д., не участвующие в критических процессах.
Методические рекомендации по категорированию в отраслях утверждены совместно Минэнерго и ФСТЭК.
Фото - freepik.com