Смотрим первоисточник:
п. 15. «Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.» (Постановление Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»).
Специально выделил, что под согласование в п. 15 попадают толькосубъекты, подведомственные органам(юрлицам), имеющим полномочия на разработку, проведение или реализацию государственной политики и (или) нормативно-правовому регулированию. Попробуем разобраться с тем, какие же органы нормативно-правовое регулирование осуществляют и т.д., в сферах деятельности из 187-ФЗ. И тут возникли проблемы: так есть разделение для «науки» и «науки в целях обороны и правопорядка», есть разделение «использование атомной энергии», в химической промышленности. Для многих будет непривычно, что не ЦБ, а Минфин.
Свел все в табличку для наглядности.
№ | Сфера деятельности по 187-ФЗ | Согласующий орган по Перечню объектов КИИ |
1 | Топливно-энергетического комплекс, нефтехимическая промышленность | Министерство энергетики РФ (Минэнерго России) Валерий Комаров |
2 | При использовании атомной энергии | Федеральная служба по экологическому, технологическому и атомному надзору, Государственная корпорация «Росатом», Министерство Обороны |
3 | Транспорт | Министерство транспорта РФ (Минтранс России) |
4 | Связь | Министерство связи и массовых коммуникаций РФ |
5 | Банковская и иная финансовая | Министерство финансов РФ (Минфин России) |
6 | Оборонная | Министерство промышленности и торговли РФ (Минпромторг России) |
7 | Здравоохранение | Министерство здравоохранения Российской Федерации (Минздрав) |
8 | Наука | Министерство образования и науки Российской Федерации (Минобрнауки России) |
9 | Наука для оборонки и правопорядка | Министерство промышленности и торговли РФ (Минпромторг России) |
10 | Энергетика | Министерство энергетики РФ (Минэнерго России) |
11 | Ракетно-космическая | Государственная корпорация по космической деятельности «Роскосмос» |
12 | Горнодобывающая | Министерство энергетики РФ (Минэнерго России) |
13 | Металлургическая | Министерство промышленности и торговли РФ (Минпромторг России) |
14 | Химическая | Министерство промышленности и торговли РФ (Минпромторг России) |
Если вы субъект КИИ, не имеющий статуса подведомственной организации для указанных органов, то составленный Перечень на согласование направлять не требуется. Утвердили и в течении 5 рабочих дней направили во ФСТЭК.
Вообще интересно получается. Например, есть ведомственная поликлиника в минтрансе и автопарк в минздраве (в виде отдельных подведомственных организаций), получается им не надо согласовать свои Перечени объектов.А вот ведомственная поликлиника Минздрава должна и автопарк Минтранса должен на согласование направлять. Неформально ФСТЭК озвучивала, что изменила формулировки п.15 под Госкорпорации. С Росатомом и Роскосмосом все логично получается, а вот с Ростехом непонятно. Возможно, что Госкорпорации самостоятельно выпустят указания о процедурах выполнения требований 187-ФЗ на своих предприятиях и закроют эти коллизии законодательства локальными актами.
Да и к общему процессу защиты КИИ возникают вопросы:
1. В п.12 «В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.» - никакого упоминания про подведомственность.
Любой субъект может приглашать работников министерств участвовать в комиссии по категорированию?
2. Государственный орган согласовал перечень объектов КИИ своих подведов, то есть он знает сколько всего объектов имеется. Но при этом, его никто далее не информирует о результатах категорирования. Он так и не узнает, а сколько же значимых объектов в его подведах.
3. Смотрим Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966): «Сведения из Реестра могут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах, отнесенных в компетенции этих государственных органов или российских юридических лиц.» - вместо подведомственности субъектов используется «в компетенции». Это одно и то же?
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite