Постановлением правительства утверждены правила оценки актуальности и достоверности сведений об объектах критической информационной инфраструктуры (КИИ) в рамках отраслевого мониторинга с привлечением специализированных организаций.
Как ранее поясняли во ФСТЭК (разработчик документа), законом о безопасности КИИ предусмотрена проверка ФСТЭК России правильности категорирования объектов КИИ, проведенного субъектами критической информационной инфраструктуры. Сведения о категорированных объектах, представляемые субъектами, являются исходными данными для проведения указанной проверки. Оценка актуальности и достоверности представленных сведений проверяется в ходе государственного контроля значимых объектов критической информационной инфраструктуры, предусмотренного статёй 13 Федерального закона № 187-ФЗ.
Кроме того, в соответствии с пунктом 19.2 правил категорирования объектов КИИ, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности (отраслевые ведомства), осуществляют мониторинг представления в ФСТЭК России актуальных и достоверных сведений об объектах КИИ в соответствующих сферах (областях).
Таким образом, в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации проверка актуальности и достоверности сведений об объектах КИИ предусмотрена как в рамках государственного контроля, проводимого ФСТЭК России в пределах своих полномочий, так и в ходе мониторинга реализации законодательства в соответствующих сферах (областях), проводимого отраслевыми ведомствами.
Принимая во внимание большое количество субъектов критической информационной инфраструктуры, осуществляющих деятельность в соответствующих сферах (областях), целью дополнительной проверки актуальности и достоверности сведений об объектах должно являться увеличение количества субъектов в соответствующих сферах (областях) деятельности, представивших в ФСТЭК России достоверные сведения о принадлежащих им объектах критической информационной инфраструктуры в соответствии с Федеральным законом № 187-ФЗ.
Учитывая, что объекты критической информационной инфраструктуры осуществляют деятельность в различных сферах (областях), организациям, проводящим проверку актуальности и достоверности сведений о них, потребуются знания особенностей обеспечения функционирования каждой сферы (области). Кроме того, в ходе проверки актуальности и достоверности сведений об объектах критической информационной инфраструктуры организация, проводящая такую проверку, будет иметь доступ к информации ограниченного доступа об угрозах и мерах обеспечения безопасности критической информационной инфраструктуры, принимаемых субъектами критической информационной инфраструктуры (в том числе к сведениям, составляющим государственную тайну, или коммерческой тайне).
Учитывая изложенное, ФСТЭК считает целесообразным дополнительные проверки актуальности и достоверности сведений об объектах критической информационной инфраструктуры проводить в рамках отраслевого мониторинга, предоставив отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации.
В качестве специализированных организаций, проводящих такую дополнительную проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие компетенции в соответствующих сферах (областях), а также в области безопасности критической информационной инфраструктуры.
