Основные вопросы, который сейчас задает себе руководитель любой организации в РФ, если он в курсе новинок законодательства: "Обязан ли я выполнять требования 187-ФЗ"? Или по другому: "моя организация - это субъект КИИ?" И вопрос "как мне определять объекты КИИ у себя?".
А вот с ответом на них возникают проблемы. И проконсультироваться то не у кого:
«юридическую силу имеют разъяснения органа государственной власти лишь в том случае, если данный орган наделен в соответствии с законодательством Российской Федерации специальной компетенцией издавать разъяснения по применению положений нормативных правовых актов».
Прописаны ли такие полномочия в 187-ФЗ для кого-либо? НЕТ!
И у ФСТЭК и у ФСБ прописано только:
«1) вносит предложения о совершенствовании нормативно-правового регулирования в области обеспечения безопасности критической информационной инфраструктуры Президенту Российской Федерации и (или) в Правительство Российской Федерации;»
Вывод: ФСБ и ФСТЭК не имеют полномочий по разъяснению и толкованию положений 187-ФЗ (имеющих юридическую силу). Это может делать только Верховный суд.
Что это означает для обычной организации? То, что ФСБ и ФСТЭК не имеют права указывать ей следующее:
1. Является ли она субъектом КИИ.
2. Что является объектом КИИ, а что нет.
Более того, у ФСТЭК есть полномочия приходить с проверкой только к субъектам ЗНАЧИМЫХ объектов, а не в любую организацию. То есть, к тем, которые сами себя этот статус присвоили и согласовали его с ФСТЭК (в порядке выполнения ПП 127). И к лицензиатам своим, в рамках осуществления проверок соблюдения требований к лицензиатам + органы власти.
См. Положение о ФСТЭК «9.1) осуществление государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;»)
ФСТЭК регулятор только для ЗНАЧИМЫХ объектов КИИ «4) осуществление самостоятельного нормативно-правового регулирования вопросов: обеспечения безопасности значимых объектов критической информационной инфраструктуры;
5) обеспечение в пределах своей компетенции безопасности значимых объектов критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;»).
ФСБ - регулятор для субъекта КИИ только в области «обнаружения, предупреждения и ликвидации последствий компьютерных атак». Все остальное - субъекта КИИ вообще не касается.
НКЦКИ вообще не имеет отношения к контролю за исполнением субъектом КИИ законодательства. Этим занимаются другие управления ФСБ, в рамках своей обычной деятельности, которая ничем не отличается от надзора за защитой ГТ, ГИС или ПДн.
Казалось бы, руководитель организации может выбрать вариант "отрицание всего и всем", но есть тонкость - сотрудники ФСБ могут попытаться привлечь вас к административной ответственности по п.6 ст.13.12 КоАП "Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации". И в суде они могут доказать, что организация является на самом деле субъектом КИИ и вы обязаны выполнять 187-КИИ. Получите штраф и предписание на выполнение требований законодательства к субъекту КИИ. При этом, может сложится интересная ситуация, когда суд в своем решение укажет "организация=субъект КИИ", но наказанию не подлежит по этой статье. Потому что требования по защите информации установлены только для значимых объектов КИИ. Сотрудникам ФСБ необходимо будет доказывать в суде, что у вас в собственности значимые объекты КИИ.
Другой, более худший вариант. Сотрудники ФСБ посчитали, что работники организации подлежат привлечению к ответственности по п.3-п.5 Ст.274.1 (за нарушение правил эксплуатации, повлекшее вред КИИ). Тогда может быть назначена экспертиза, которая определит вашу принадлежность к субъектам КИИ. Но опять же - только после решения суда. Итог: Судьбу организации,в рамках 187-ФЗ будет решать не 2-е Управление ФСТЭК России, не 8 Центр ФСБ и не НКЦКИ, а только суд. А это говорит только о том, что разъяснения в рабочем порядке по обсуждаемым вопросам необходимо получать от территориальных органов ФСБ и прокуратуры. Прогнозирую, что картина применения 187-ФЗ будет иметь очень сильные региональные отличия. Сложится ситуация, очень похожая на выполнение 152-ФЗ о ПДн.
