При обсуждении предложенного мной алгоритма категорирования для субъекта КИИ https://valerykomarov.blogspot.com/2018/05/blog-post_30.html в Фейсбуке, возникла очень острая дискуссия. Мои оппоненты выдвинули два тезиса:
1. Определять процессы необходимо "от процессов",а не от инвентаризации ИС.
2. Не все ИС требуют категорирования, а только те, "которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов".
Если по крупному, то спор идет из-за разного подхода ФСТЭК (авторы ПП127) и ФСБ (авторы 187-ФЗ) к защите критической информационной инфраструктуры страны. Но ПП127 подзаконный акт и находится в подчиненном положении к 187-ФЗ. И все сомнения трактуются в пользу определений закона, а не постановлений правительства.
Начнем с главного, с полномочий Правительства РФ по 187-ФЗ:
Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры
2. Правительство Российской Федерации устанавливает:1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
Статья 7. Категорирование объектов критической информационной инфраструктуры4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Итог: Правительство РФ не имеет законных оснований уточнять или определять "объект КИИ". Более того, 187-ФЗ прямо указывает единственный критерий "принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры", который учитывается при категорировании- собственность.
Тем более таких полномочий нет у ФСТЭК. И регулятором они являются только в части:
8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.
Про процессы я уже писал ранее:
Итог: Процессы определяет только субъект КИИ. Для того, что бы организация поняла является ли она субъектом КИИ, ей необходимо выявить у себя объекты КИИ (такова логика 187-ФЗ). Поэтому, сначала инвентаризация ИС и определение сфер деятельности,в которых они функционируют. И только потом - решение о выполнение ПП127, в том числе и определение процессов. Но не наоборот. Сначала 187-ФЗ и только потом - ПП127.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
