23 Марта, 2018

Так с кем же согласовать свой Перечень объектов КИИ?

Валерий Комаров



Смотрим первоисточник:

п. 15. «Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.» (Постановление Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»).
Специально выделил, что под согласование в п. 15 попадают толькосубъекты, подведомственные органам(юрлицам), имеющим полномочия на разработку, проведение или реализацию государственной политики и (или) нормативно-правовому регулированию. Попробуем разобраться с тем, какие же органы нормативно-правовое регулирование осуществляют и т.д., в сферах деятельности из 187-ФЗ.  И тут возникли проблемы: так есть разделение для «науки» и «науки в целях обороны и правопорядка», есть разделение «использование атомной энергии», в химической промышленности. Для многих будет непривычно, что не ЦБ, а Минфин.

Свел все в табличку для наглядности.

Сфера деятельности по 187-ФЗ
Согласующий орган по Перечню объектов КИИ
1
Топливно-энергетического комплекс, нефтехимическая промышленность
Министерство энергетики РФ (Минэнерго России)

Валерий Комаров
2
При использовании атомной энергии
Федеральная служба по экологическому, технологическому и атомному надзору, Государственная корпорация «Росатом», Министерство Обороны
3
Транспорт
Министерство транспорта РФ (Минтранс России)
4
Связь
Министерство связи и массовых коммуникаций РФ
5
Банковская и иная финансовая
Министерство финансов РФ (Минфин России)
6
Оборонная
Министерство промышленности и торговли РФ (Минпромторг России)
7
Здравоохранение
Министерство здравоохранения Российской Федерации
(Минздрав)
8
Наука
Министерство образования и науки Российской Федерации (Минобрнауки России)
9
Наука для оборонки и правопорядка
Министерство промышленности и торговли РФ (Минпромторг России)
10
Энергетика
Министерство энергетики РФ (Минэнерго России)
11
Ракетно-космическая
Государственная корпорация по космической деятельности «Роскосмос»
12
Горнодобывающая
Министерство энергетики РФ (Минэнерго России)
13
Металлургическая
Министерство промышленности и торговли РФ (Минпромторг России)
14
Химическая
Министерство промышленности и торговли РФ (Минпромторг России)

Если вы субъект КИИ, не имеющий статуса подведомственной организации для указанных органов, то составленный Перечень на согласование направлять не требуется. Утвердили и в течении 5 рабочих дней направили во ФСТЭК.

Вообще интересно получается. Например, есть ведомственная поликлиника в минтрансе и автопарк в минздраве (в виде отдельных подведомственных организаций), получается им не надо согласовать свои Перечени объектов.А вот ведомственная поликлиника Минздрава должна и автопарк Минтранса должен на согласование направлять. Неформально ФСТЭК озвучивала, что изменила формулировки п.15 под Госкорпорации. С Росатомом и Роскосмосом все логично получается, а вот с Ростехом непонятно. Возможно, что Госкорпорации самостоятельно выпустят указания о процедурах выполнения требований 187-ФЗ на своих предприятиях и закроют эти коллизии законодательства локальными актами.

Да и к общему процессу защиты КИИ возникают вопросы:

1.           В п.12 «В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.» - никакого упоминания про подведомственность. 
Любой субъект может приглашать работников министерств участвовать в комиссии по категорированию?

2.                Государственный орган согласовал перечень объектов КИИ своих подведов, то есть он знает сколько всего объектов имеется. Но при этом, его никто далее не информирует о результатах категорирования. Он так и не узнает, а сколько же значимых объектов в его подведах.

3.                     Смотрим Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966): «Сведения из Реестра могут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах, отнесенных в компетенции этих государственных органов или российских юридических лиц.» - вместо подведомственности субъектов используется «в компетенции». Это одно и то же?

* Все новости блога на публичном Telegram-канале    t.me/ruporsecurite