Официальная позиция ФСТЭК по срокам выполнения 187-ФЗ

Официальная позиция ФСТЭК по срокам выполнения 187-ФЗ

      С момента публикации 13 февраля 2018 года ПП127 в обновленном варианте (исключен срок в 6 месяцев на инвентаризацию объектов КИИ), остро стоит вопрос о риске привлечения к ответственности субъекта КИИ за невыполнение требований 187-ФЗ. И особенно важен вопрос об обязательности создания системы безопасности значимых объектов КИИ до момента внесения сведений в реестр ФСТЭК.
name='more'>
      Здесь важно два момента:
1. значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры (187-ФЗ).
2. «Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации» (п.6 ст.13.12 КоАП).
         Итого: Законодательно установлены требования о защите информации только для ЗНАЧИМЫХ объектов КИИ. А по 187-ФЗ таковыми становятся объекты КИИ не по факту утверждения акта категорирования субъектом КИИ, а только по факту внесения сведений в реестр ФСТЭК.
         Соответственно, для субъекта КИИ была «вилка» по административной ответственности: провести категорирование и уведомить ФСТЭК – попадание под ст.13.12 КоАП (235 и 239 приказы вышли с задержкой, да и невозможно их быстро выполнить- закупочные процедуры, конкурсы и т.д.) или попасть под ст.19.5 КоАП за невыполнение предписания ФСТЭК/ФСБ о проведении категорирования (наказания за невыполнение 187-ФЗ и ПП127 не предусмотрено).
         Рассмотрим в данной заметке вопрос «сначала создаем СБ значимого объекта КИИ и потом оформляем акт категорирования с последующим уведомлением ФСТЭК или выполняем в полном объеме ПП127 и потом приступаем к реализации 235 и 239 приказов ФСТЭК?».
         Сотрудники ФСТЭК неоднократно озвучивали на конференциях и семинарах позицию, что сначала категорирование и внесение информации в реестр, а потом создание системы безопасности для значимых объектов КИИ.
         Но это были устные указания, пусть и публичные.
         А вот далее было оформлено решение Коллегии ФСТЭК России от 24.04.2018 №59, сроки из которого были использованы для официального доведения потенциальным субъектам КИИ в регионах по всей стране
https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf
Это уже серьезные документы, которые четко  и официально фиксируют позицию одного из регуляторов в сфере КИИ.
        Что мы видим интересного в сроках:
1. Перечень необходимо создать до 1 августа 2018 года, то есть – те же 6 месяцев, что исчезли из текста ПП127 при утверждении.
2. Категорирование провести до 1 января 2019 года, а это существенное ужесточение. По ПП127 дается 12 месяцев на процедуру категорирования, срезали до 5 месяцев. Ужесточение даже по сравнению с формальным подходом к выполнению ПП127 – 21 февраля 2019 года, ужесточение на полтора месяца. https://valerykomarov.blogspot.com/2018/03/blog-post_81.html
3. И самое главное: создание систем безопасности значимых объектов КИИ до 1 сентября 2019 года. ФСТЭК считает разумным срок в 8 месяцев на создание системы безопасности. И первичнее  - категорирование.

        Что необходимо учесть субъектам КИИ:
1. Эта позиция ФСТЭК для «мирного» времени. Если в РФ случится серьезный инцидент на объектах КИИ с тяжкими последствиями или с существенным имиджевым ущербом для страны, то «гайки зажмут» по срокам моментально и для всех.
2. До 1 апреля  2019 года у ФСТЭК не будет юридических оснований для привлечения к ответственности за отсутствие категорирования. (только с 21.02.2019 возможен запрос о результатах категорирования у субъекта).
3. ФСТЭК не планирует применять п.6 ст.13.12 КоАП в период с 21.02.2019 по 01.09.2019 года.
4. ФСБ ничего не обещала. И имеет такие же полномочия по привлечению к административной ответственности, что и ФСТЭК. Во всяком случае, региональные управления ФСБ не возражают против этих сроков от ФСТЭК.
5. На риск привлечения к уголовной ответственности по ст.274.1 УК РФ позиция ФСТЭК никак не влияет.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***Спасибо Сергею Борисову за скан документа
http://sborisov.blogspot.com/2018/07/3.html?spref=tw

Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности