Изменения в приказе ФСТЭК России № 236: требуется ли повторно направлять сведения о результатах категорирования по новой форме, если категорирование уже проведено?

2025 год

Ответ: в соответствии с п. п. «ж» п. 5 ст. 1 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности» аэропорты относятся к объектам транспортной инфраструктуры (далее – ОТИ). Исходя из этого можно сделать вывод, что оператор аэропорта является субъектом критической информационной инфраструктуры (далее – КИИ), осуществляющим деятельность в сфере транспорта в соответствии со ст. 2 Федерального закона от 26.06.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В случае, если информационная система (далее – ИС) IP-телефонии используется в рамках производственной деятельности аэропорта, проводится категорирование принадлежащей субъекту КИИ ИС с использованием соответствующего выделенной сфере деятельности перечня типовых отраслевых объектов КИИ.
Оператору аэропорта при проведении категорирования принадлежащей ему ИС IP-телефонии рекомендуется использовать следующие методические документы в сфере транспорта:
1.Перечень типовых объектов КИИ, функционирующих в сфере транспорта (утвержден Минтрансом России), в котором приводятся типовые отраслевые объекты КИИ в сфере воздушного транспорта, а также их признаки значимости – процессы, выполняемые типовыми объектами КИИ, и виды деятельности, для обеспечения которых используются указанные отраслевые объекты КИИ.
2.Методические рекомендации по категорированию объектов КИИ, функционирующих в сфере транспорта (утверждены Минтрансом России 24.01.2024).
Отдельно отметим, что в настоящее время разработаны проекты постановлений Правительства Российской Федерации (далее – РФ), в которых зафиксированы отраслевые особенности категорирования и типовые перечни объектов КИИ в сфере транспорта. После принятия и вступления в силу указанных ниже проектов при проведении процедуры категорирования необходимо руководствоваться данными документами:
1.Проект постановления Правительства РФ «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры».
2.Проект постановления Правительства РФ «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере транспорта».
Таким образом, субъекту КИИ – оператору аэропорта необходимо определить функциональное назначение используемых средств IP-телефонии. В зависимости от этого может быть рассмотрено несколько сценариев для данной ИС. Приведем примеры:
1.В случае, если данная ИС IP-телефонии относится к ОТИ в соответствии с приказом Минтранса России от 28.01.2021 № 21 «Об определении объектов систем связи, навигации и управления движением транспортных средств воздушного, железнодорожного, морского и внутреннего водного транспорта, являющихся объектами транспортной инфраструктуры» либо используется в составе технических средств связи обеспечения транспортной безопасности аэропорта (входит в инфраструктуру ОТИ для обеспечения антитеррористической защищенности), такая ИС будет относиться к значимым объектам КИИ. Необходимо учитывать категорию данного ОТИ при расчете показателя критериев значимости «3г», установленного Правилами категорирования объектов КИИ РФ, а также перечнем показателей критериев значимости объектов КИИ РФ и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 (далее – Правила категорирования).
2.В случае, если ИС IP-телефонии является системой, обеспечивающей авиационную связь для осуществления производственной деятельности аэропорта, данная ИС будет являться объектом КИИ. В целях определения категории значимости необходимо произвести оценку по каждому из применимых показателей значимости согласно Правилам категорирования, в том числе показателей критериев значимости «3а», «3б», «3в».
3.В случае, если ИС IP-телефонии используется как вспомогательный инструмент обеспечения хозяйственной деятельности аэропорта (не используется в производственном процессе) и не соответствует объектам КИИ, включенным в типовые перечни объектов КИИ в сфере транспорта, данная ИС не будет являться объектом КИИ.
Дополнительно стоит отметить, что согласно п. 22 Правил категорирования в случае выявления субъектом КИИ ИС, не соответствующих включенным в перечень типовых отраслевых объектов КИИ, необходимо рассчитать и оценить соответствие масштаба возможных последствий на указанном объекте КИИ (в случае возникновения компьютерных инцидентов) показателям критериев значимости и их значениям, установленных Правилами категорирования. В случае, если масштаб последствий соответствует показателям критериев значимости, субъект КИИ присваивает указанному объекту КИИ одну из категорий значимости.
В случае, если субъект КИИ использует средства IP-телефонии для разных нужд (и в производственном процессе, и для обеспечения административного сопровождения бизнеса), рекомендуется:

• при наличии технической возможности – разделить средства IP-телефонии по функциональному назначению путем выделения соответствующих сегментов;
• при построении системы (подсистемы) обеспечения безопасности объекта КИИ использовать контуры безопасности в зависимости от присвоенной категории значимости конкретного функционального сегмента ИС.