Часть 2. Принуждение к законопослушности
Когда обсуждается обязательность исполнения 187-ФЗ, а так же ответственность за его невыполнение и возможные действия государственных органов власти по контролю и принуждению к исполнению, то часто забывают о том, что в России форма правления - "президентская республика". И в стране выстроена жесткая и беспощадная "вертикаль власти Президента". Рассмотрим как это влияет на жизнь субъекта КИИ.
name='more'> Справа на рисунке отображен привычный контур госрегулирования в области защиты информации на организацию, а в реальности есть еще и второй ( в левой части)
Для понимания отразим структуры, ответственные за ИБ по линии Администрации Президента РФ (обычно они называются "совет" или "комиссия").
1. Такая структура выстроена в КАЖДОМ регионе.
2. Сотрудники ФСБ и ФСТЭК принимают активное участие в формирование повестки по ИБ данных органов.
Смотрим на уровне Федерального округа
http://cfo.gov.ru/advisory/commission/infbez/about "Комиссия при полномочном представителе Президента РФ в ЦФО по информационной безопасности
Комиссия образована распоряжением полномочного представителя от 28.06.2013г. № А50-238р.
Основными задачами Комиссии являются:
а) рассмотрение вопросов:
реализации в округе государственной политики в области информационной безопасности;
обеспечения в округе контроля за исполнением нормативных правовых актов в области информационной безопасности;
координации деятельности уполномоченных органов исполнительной власти в области информационной безопасности субъектов Российской Федерации, находящихся в пределах округа,
и заинтересованных территориальных органов федеральных органов исполнительной власти;
д) анализ выполнения в округе федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, федеральных целевых программ, направленных на обеспечение информационной безопасности;"
Итог: В задачи комиссии входит анализ выполнения 187-ФЗ, контроль за выполнением 187-ФЗ, обеспечение обязательности выполнения 187-ФЗ.
Может это не всех касается на территории федерального округа?
"ПОЛОЖЕНИЕ
о Комиссии при полномочном представителе
Президента Российской Федерации в Центральном федеральном
округе по информационной безопасности
Комиссия для решения возложенных на нее задач имеет
право:
взаимодействовать в установленном порядке с федеральными
органами исполнительной власти, органами исполнительной власти
субъектов Российской Федерации, органами местного
самоуправления, а также с организациями и должностными лицами
по вопросам, входящим в ее компетенцию;
запрашивать и получать в установленном порядке необходимые
материалы и информацию от федеральных органов исполнительной
власти, органов исполнительной власти субъектов Российской
Федерации, органов местного самоуправления, а также
от организаций и должностных лиц;".
Итог: касается всех - ФОИВ, ОИВ регионов, муниципалов, организаций.
Но с организациями обычно взаимодействуют нижележащие структуры - советы/комиссии по ИБ в ОИВ региона.
Ранее( https://valerykomarov.blogspot.com/2018/07/187.html )уже обсуждал протокол решения Совета по защите информации Томской области, размещенный в открытом доступе Интернет
https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf
Показательны в нем два момента:
1. Прямо указаны не только государственные органы и учреждения, но и юрлица и ИП.
2. Осуществление контроля за выполнением 187-ФЗ
А теперь рассмотрим вариант действий ФСТЭК и ФСБ, направленных на контроль и принудительное выполнение 187-ФЗ организациями в стране (Данный вариант отражает мои личные умозаключения, основанные исключительно на публично озвученной информации и документах, размещенных в открытом доступе.)
У регуляторов есть проблема: не наделили их полномочиями в рамках 187-ФЗ. https://valerykomarov.blogspot.com/2018/05/blog-post_22.html
Но закон вступил в силу и необходимо обеспечить его выполнение. Как им быть? С них ведь то же спрашивают. Особенно на Совете безопасности РФ.
Этап 1. И ФСТЭК подготавливает решение Советов/комиссий , основанное на внутреннем документе самого ФСТЭК - решение коллегии ФСТЭК № 59 от 24.04.2018. Оформляется Протокол заседания Совета и направляется по организациям, перечень которых так же готовится при участии ФСТЭК.
Причем сроки этапов выполнения 187-ФЗ чаще всего ужесточаются, потому что региональным комиссиям необходимо всю информацию собрать, обобщить и отчитаться перед федеральными округами. + "ефрейторский запас".
Правда для Томской области прописан рекомендательный характер таких решений:
РАСПОРЯЖЕНИЕ от 22 апреля 2004 года № 272-р
«О создании Совета по защите информации Томской области»
Решения Совета утверждаются Главой Администрации (Губернатором) области и в 7-дневный срок после заседания рассылаются членам Совета и доводятся до исполнителей и других заинтересованных организаций в части, их касающейся.
Решения Совета носят рекомендательный характер. В случае необходимости на их основе могут быть подготовлены правовые акты Главы Администрации (Губернатора) области, Администрации Томской области.
Этап 2. На очередном заседании Совета/комиссии федерального округа фиксируется в протоколе низкая дисциплинированность субъектов КИИ, большое количество ошибок в присланных документах и т.д. В протокол вносится решение о проведение внеплановых проверок организаций по списку, подготовленного ФСТЭК/ФСБ.
Результат второго этапа - ФСТЭК/ФСБ получили основания для выездной проверки реализации 187-ФЗ в организациях.
Этап 3. ФСТЭК/ФСБ приходит в организации по списку и выявляет объекты КИИ. Составляет протоколы для Совета/комиссии и оформляет предписание на выполнение требований 187-ФЗ (составление Перечня, категорирование и т.д.).
Результат третьего этапа - возможность привлекать организации за невыполнение предписаний по ст.19.5 КоАП
"Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль"
Итог: если судить по Томскому протоколу, то сейчас реализуется первый этап. У такого варианта событий есть большой недостаток - долгие бюрократические процедуры. Но ФСТЭК озвучивал планы по скорому изменению КоАП для субъектов КИИ, да и есть у ФСТЭК/ФСБ и другие основания для проверок организаций, с попутным выявлением объектов КИИ (надзор за лицензиатами, плановые проверки, расследование уголовных дел и т.д.). К тому же, штатные подразделения по КИИ только созданы у регуляторов, необходимо организовать их работу.
Думаю, что в следующем году субъектами КИИ очень плотно займутся. Сразу всех не охватят, но статистика в презентациях ФСТЭК серьезно улучшится.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
