Кабмин утвердил правила категорирования объектов КИИ для сферы государственной регистрации прав на недвижимость. Документ вводит отраслевой порядок отнесения информационных систем и инфраструктуры этой сферы к категориям значимости, уточняет показатели и методику оценки рисков. Показатели критериев значимости определяются с учетом особенностей функционирования объектов недвижимости, оборота прав и взаимосвязанности реестров и сервисов.
Что это значит для участников рынка и государственных ИТ-операторов: какие системы попадут под новые критерии, кто обязан проводить категорирование, как считать показатели и какие меры защиты внедрять — собрали главное ниже.
Содержание
Ключевые параметры изменений
| Параметр | Что установлено |
|---|---|
| Что меняется | Утвержден порядок категорирования объектов КИИ именно для сферы регистрации прав на недвижимость, включая отраслевые показатели критериев значимости. |
| Кто обязан | Операторы и владельцы государственных и ведомственных ИС, АС и сетей, обеспечивающих регистрацию прав и кадастровый учет (центральные и региональные компоненты, резервные площадки, узлы межведомственного взаимодействия). |
| Кто не обязан | Организации, не эксплуатирующие такие ИС/инфраструктуру, а также участники рынка недвижимости без доступа к государственным ИС регистрации прав (риэлторы, застройщики, иные пользователи сервисов). |
| Сроки выполнения | Категорирование проводится в установленные внутренними планами и указаниями уполномоченных органов сроки; для новых ИС — до ввода в промышленную эксплуатацию. Переоценка — при существенных изменениях или по регламенту. |
| Правила и процедура | Инвентаризация объектов; расчет показателей значимости; присвоение категории (I–III или «вне категории»); утверждение акта категорирования; уведомление уполномоченного органа; реализация мер защиты по категории. |
| Ответственность/штрафы | Ответственность предусмотрена КоАП РФ и иными актами для должностных и юридических лиц за нарушения требований безопасности КИИ; конкретные суммы определяются общими нормами и не устанавливаются данным актом. |
Какие объекты и системы в зоне регулирования
- Центральные и региональные компоненты государственных ИС регистрации прав и кадастрового учета (ядра, реестровые базы, подсистемы приема/выдачи).
- Интеграционные узлы и шины данных, обеспечивающие межведомственное взаимодействие (в том числе обмен с МФЦ, нотариатом, банками, органами власти).
- Резервные центры обработки данных, аварийные и отказоустойчивые площадки, а также каналы связи, критичные для функционирования реестров.
- Сервисы аутентификации и авторизации, критичные справочники и реестры, без которых невозможны регистрационные действия.
Показатели критериев значимости: отраслевые особенности
При определении категории учитываются показатели, отражающие специфические риски оборота недвижимости и жизненного цикла объекта:
- Масштаб воздействия: количество заявлений и регистрационных действий, доля реестровых записей и пользователей, зависящих от ИС.
- Последствия отказа: допустимое время простоя сервисов приема/выдачи, риск остановки или задержки регистрационных действий и срывов сроков оказания услуг.
- Объем и критичность данных: массивы записей ЕГРН, архивы, критические справочники, полнота и целостность которых определяют юридическую силу сведений.
- Взаимосвязанность: количество и значимость внешних интеграций (ЕСИА, МЭВ и др.), от которых зависит непрерывность сервиса.
- Территориальный охват: федеральный/межрегиональный характер воздействия с возможной социально-экономической значимостью при сбое.
- Резервирование и отказоустойчивость: наличие и готовность ДЦ/ДРС, RTO/RPO и механизмы быстрого восстановления.
- Угрозы безопасности: риски утраты, подмены или несанкционированного раскрытия реестровых записей и документов-оснований.
Как провести категорирование: пошагово
- Сформируйте перечень ИС, сетей, сервисов и технологических сегментов, задействованных в регистрации прав и кадастровом учете.
- Опишите процессы (прием заявлений, проверка, принятие решений, внесение записей, выдача сведений) и их зависимость от ИТ.
- Соберите данные по показателям значимости с учетом отраслевой специфики и влияния на объекты недвижимости и участников сделок.
- Рассчитайте категорию (I, II, III или отсутствие категории) по установленной методике и зафиксируйте результаты в акте категорирования.
- Утвердите модель угроз и меры защиты по присвоенной категории, определите RTO/RPO, регламенты резервного копирования и план аварийного восстановления.
- Уведомьте уполномоченный орган о результатах категорирования в установленном порядке.
- Актуализируйте результаты при существенных изменениях архитектуры, нагрузок, интеграций или правового режима данных.
Минимальные меры защиты по категориям
- I категория (высокая значимость): круглосуточный мониторинг, сегментация, многофакторная аутентификация, криптографическая защита, геораснесенные ДЦ, регулярные учения и аудиты.
- II категория: развитое резервирование, централизованное управление уязвимостями, контроль целостности, ускоренное восстановление.
- III категория: базовая защита периметра, управление доступом, резервное копирование, журналы безопасности и реагирование на инциденты.
- Вне категории: общие меры информационной безопасности и внутренний контроль изменений.
Примеры объектов в сфере регистрации прав
- Подсистема приема и обработки заявлений на госрегистрацию и кадастровый учет.
- Реестровая база сведений о правах, обременениях и характеристиках объектов недвижимости.
- Межведомственные шлюзы обмена с МФЦ, нотариатом, банками, судами и органами власти.
- Резервные копии, архивы правоустанавливающих документов и системы их верификации.
Ответственность и контроль
За несоблюдение требований безопасности КИИ предусмотрены меры административной и иной ответственности для должностных и юридических лиц. Отдельные составы правонарушений связаны с нарушением правил защиты информации и неисполнением обязанностей оператора КИИ. Надзор осуществляют уполномоченные государственные органы.
Что сделать операторам уже сейчас
- Назначить ответственных за категорирование и согласовать план-график работ.
- Провести инвентаризацию ИС, интеграций и данных, критичных для регистрационных действий.
- Подготовить и утвердить методику расчета показателей с учетом отраслевой специфики.
- Проверить готовность резервных площадок и планы аварийного восстановления.
- Обновить регламенты реагирования на инциденты и взаимодействия с надзорными органами.
Ответы на вопросы
| Вопрос | Ответ |
|---|---|
| Кто считается оператором объекта КИИ в регистрации прав? | Лицо, которое эксплуатирует критичную ИС/инфраструктуру, обеспечивает ее работоспособность и принимает решения по мерам защиты. |
| Нужно ли категорировать тестовый/препрод контур? | Да, если его отказ или компрометация могут повлиять на продуктив или повлечь утечку/подмену реестровых данных. |
| Как быть с облачными ресурсами и подрядчиками? | Категорирование выполняется у оператора; в договорах с провайдерами закрепляются меры защиты по требуемой категории. |
| Когда пересматривать категорию? | При существенных изменениях архитектуры, нагрузок, интеграций, объема данных или при обновлении методики/показателей. |
| Нужно ли сообщать, если категория не присвоена? | Да, результаты категорирования фиксируются и сообщаются в порядке, установленном уполномоченными органами. |
| Распространяются ли правила на пользователей (МФЦ, банки, риэлторов)? | Правила нацелены на операторов ИС/инфраструктуры; пользователи следуют своим регламентам и требованиям к подключению. |
Нормативная база
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Правительственные правила категорирования объектов КИИ Российской Федерации.
- Акты уполномоченных органов с методическими рекомендациями и требованиями к мерам защиты объектов КИИ.
- Отраслевые правила категорирования объектов КИИ в сфере государственной регистрации прав.
