Итоги нашей активности по проекту ПП127

Итоги нашей активности по проекту ПП127


  Не смотря на то, что этап публичного обсуждения проекта совпал с длительными новогодними каникулами, продемонстрирована высокая активность неравнодушных к теме регулирования процессов категорирования ОКИИ граждан.
name='more'>
     Поступило 49 замечаний, правда часть дублируется.
  ФСТЭК принял и учел 28 замечаний. С одной стороны - это показатель адекватности регулятора к критике и предложениям, с другой - показатель низкого уровня разработки обсуждаемого законопроекта, только по показателям  значимости 6 учтенных замечаний. На мой взгляд, достигнутый нами результат намного слабее, чем в случае с сертификацией СЗИ .
   Результаты анализа получившейся версии ПП127 будут приведены в следующей заметке, здесь же хотел бы обратить внимание на мое предложение № 20 "Изучение угроз на уровне комиссии бессмысленно и избыточно, там не специалисты ИБ. Данный процесс бессмысленный для категорирования, результат выявления угроз никак не используется при оценке применимости показателей значимости.". С 2017 года предпринимаю попытки обосновать  ФСТЭК избыточность и вредность для организации процесса категорирования на местах требования об оценке комиссией угроз и уязивимостей. По уязвимостям понимание достигнуто и изменения в ПП127 вносятся. Но по угрозам позиция ФСТЭК принципиальная и неизменная. Сейчас она сформулирована так "На основе результатов анализа угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры Российской Федерации, определяются возможные компьютерные инциденты, для которых определяются возможные последствия". 
     Вопрос № 1. Зачем мне определять компьютерные инциденты на ОКИИ? 

    Смотрим "14.1. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.

14.2. В случае если выполнение критического процесса зависит от выполнения иных критических процессов субъекта критической информационной инфраструктуры, предусмотренная подпунктом «е» пункта 14 настоящих Правил оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.

и смотрим "е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;"
   Для расчета показателя значимости комиссия исходит из предположения, что ОКИИ работает с нарушениями или вообще прекратил свою работу. Какая разница в следствии какого конкретного компьютерного инцидента? Какая разница в следствии реализации каких конкретных угроз может возникнуть этот инцидент? 
     Вопрос № 2. А кто это должен оценивать и анализировать?

   Из всего состава комиссии эти термины и смысл работы понимает только ответственный за ИБ и специалист ОЗГТ (при наличии). И все. То есть, основной состав комиссии должен принять решение, влияющее на дальнейшее привлечение к уголовной ответственности по пп.3-5 Ст.274.1 УК РФ и "расписаться кровью" в акте категорирования,  ничего не понимая  и не осознано.
   И в этом сосредоточена суть вредности для практической организации работы комиссии на местах. Начальники различных подразделений субъекта КИИ просто отказываются согласовать приказы о создании комиссии, с очень простым обоснованием - отсутствие компетенций по выполнению требований ПП127 и методических документов регуляторов по выполнению процессов категорирования. Трудозатраты и сложность этого этапа категорирования хорошо разобрана С. Борисовым .
    Ведь есть же негативный опыт по ПП1119 и классификации ИСПДн, где на класс влияют НДВ..
    Есть же положительный опыт по 17 приказу ФСТЭК и классификации ГИС, где комиссия учитывает только потенциальный ущерб и территориальный масштаб ГИС.
     Есть же опыт по 31 приказу ФСТЭК,  где только потенциальный ущерб влияет на классификацию АСУ.
     И это при том, что в ИСПДн/ГИС/АСУ не предусмотрены объекты, которым не присваивается категория. А в КИИ такие объекты предусмотрены. Защищать их не обязан, но анализ угроз проведи.

      * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.



** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта

Предложения участника общественного обсуждения
Результат рассмотрения разработчиком позиций участников общественного обсуждения
Комментарии разработчика
1.      1
не туда написал
Не учтено
Не ясна суть предложения
2.      2
В критерии значимости 14. Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы ... не учтено в какую категорию будет попадать объект, если принимаемый параметр будет равен именно единице (1 часу). В первую или во вторую?
Предлагается уточнить значение показателя 14. для первой или второй категории словами «или равно» 1
Учтено
Для I категории значимости объектов критической информационной инфраструктуры Российской Федерации значение показателя 14 изложено в редакции «менее или равно 1»
3.       
По поводу предлагаемых изменений в пункте 14 ПП РФ от 08.02.2018 № 127. В частности дополнение подпункта «ж» п. 14 вторым из предлагемых абзацов следующего содержания:
«В случае, если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» настоящего пункта, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.»
Неясно как тогда быть в случае, если функционирование одного объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры зависит от функционирования объекта критической информационной инфраструктуры другого субъекта критической информационной инфраструктуры?
Например, сфера здравоохранения. Системы РС ЕГИСЗ и ЕМИАС, в которых есть различные типы подключения к головным центрам обработки данных. Наиболее большой интерес представляет схема подключения информационных систем медицинских учреждений, которые имеют свой Аттестат соответствия, но кроме программного обеспечения, предоставляемого медицинским учреждениям как веб-сервис, для работы не используют. И собственных серверов тоже нет, все данные хранятся на серверах центров обработки данных
Не учтено
В указанном случае оценка возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.

4.      3
В целях организации качественной работы по проведению категорирования объектов предлагается определить максимальный срок категорирования 1 год со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (п.15). Данный срок позволит выполнить все мероприятия по категорированию более качественно с реализацией достоверных методики расчетов значений показателей критериев значимости
Учтено
Изложено в следующей редакции:
«Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).»
5.      4
Предложение ввести нижние границы по всем критериям оценки, как было ранее.
Например
-- Снижении объемов продукции в заданный период - менее или равно 10 --- 0 это тоже менее 10. Но 0 это нет ущерба и снижения показателей. При 0 объект не должен быть значимым. В предлагаемом изменении он значим всегда независимо от показателя
Учтено
Для показателя критериев значимости № 14 по третьей категории значимости установлены следующие значения:
«более 0, но менее или равно 10»
6.      5
По п.9 показателей, что имеется ввиду и как это определять? Снижение отчислений в бюджет, осуществляемых субъектом КИИ (процент от величины отчислений субъекта КИИ за прошедший пятилетний период). Т.е. если в результате КА, объект КИИ прекратит или нарушит работоспособность, а это приведет к уменьшению отчислений (налогов) субъектом КИИ в бюджет более 1%. Как это считать? Но чем меньше субъект КИИ, тем больше для него последствия КА (более 10%), а может в результате КА вообще перестать функционировать. Получается, что такие субъекты должны иметь 1 категорию? Сейчас данный показатель зависит от того какую долю имеет субъект КИИ в бюджете, чем больше доля, тем выше категория. А по проекту, получается, что доля субъекта в бюджете не важна
Учтено
Показатель критериев значимости № 9 изложен в следующей редакции:
«Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)»
7.      6
Пункт 4
Прекращение1) или нарушение функционирования2) сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек)
Проблема:
Небольшие операторы связи могут обслуживать несколько тысяч абонентов, при этом, как правило, операторы имеют небольшую долю рынка. Даже полное отключение всего оборудования данных операторов связи привет лишь к тому, что без услуг связи останется несколько десятых или несколько единиц процентов населения субъекта РФ, при этом услуги связи будут доступны с использованием других операторов связи, в частности, с помощью мобильных сетей федеральных операторов связи.
Примерами таких операторов могут выступать небольшие региональные провайдеры и операторы связи, компании предоставляющие услуги, с подключением абонентов с использованием сети интернет (для последней категории характерен большой охват территории и низкая доля рынка услуг связи в каждом субъекте РФ).
Операторы мобильной связи, работающие по бизнес-модели виртуальных сетей (MVNO) как правило не имеют собственного оборудования связи, либо имеют лишь отдельные элементы сети связи. Основная часть оборудования, задействованного для оказания услуг связи, используется на основании договора с хост-оператором, которому оно принадлежит. В данной модели для виртуального оператора представляется невозможным проводить категорирование чужого оборудования, к которому у MVNO-оператора, зачастую, даже нет доступа.
При этом, как и в вышеприведенных случаях доля рынка у виртуальных операторов крайне низка, даже полное отключение всех абонентов сети MVNO затронет лишь несколько десятых или несколько единиц % от числа абонентов.
Предложение:
Включить в п.4 дополнительную оговорку «за исключением операторов связи, абонентская база которых составляет менее 10% от численности населения в каждом субъекте РФ, а также операторов связи, работающих по бизнес-модели виртуальных сетей (MVNO)
Не учтено
Прекращение или нарушение функционирования сети связи несет негативные социальные последствия вне зависимости
от доли абонентской базы оператора по отношению
к численности населения в каждом субъекте Российской Федерации, а также от технологии предоставления услуг связи
8.      7
Пункт 9
Возникновение ущерба бюджетам Российской Федерации (подпункты а и б):
?Проблема:
Новые формулировки приведут к тому, что компании любого масштаба (даже при обслуживании 1 клиента) и суммарном объеме выплат федеральный бюджет в 10 тыс. рублей становятся субъектами КИИ.
Предложение:
В части операторов связи также исключить из списка операторов связи, абонентская база которых составляет менее 10% и более от численности населения в каждом субъекте РФ, а также операторов связи, работающих по бизнес-модели виртуальных сетей (MVNO)
Учтено
Показатель критериев значимости № 9 изложен в следующей редакции:
«Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)»
9.      8
Меняются показатели категорий значимости, влияющие на принятие решения об отнесении оцениваемых объектов КИИ к значимым и об обязательности создания систем безопасности данных объектов. При этом, нет никаких указаний об обязательности пересмотра решений по объектам, отнесенным к «незначимым» по старым показателям. Что делать субъектам, которые уже получили подтверждение от ФСТЭК о том, что их ОКИИ не значимые по старым показателям? Это приведет к существованию в течении 4-5 лет (срок на пересмотр актов категорирования) однотипных объектов, часть из которых будет защищаться по 235 и 239 приказам, а часть нет
Учтено
Пункт 21 Правил изложен в следующей редакции:
«21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.»
10.  9
Изменение показателей категорий значимости приведет к экономическим потерям субъектов, вынужденных повторно категорироваться по новым требованиям (для субъектов, которые выйдут на этап согласования с ФСТЭК формы уведомления о результатах категорирования к моменту вступления в силу обновлений ПП-127). Особенно для субъектов, привлекших подрядные организации и уже заключивших контракты на работы
Не учтено
Повторное категорирование объектов критической информационной инфраструктуры в связи с изданием новой редакции Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений необходимо в целях обеспечения одинакового уровня безопасности однородных значимых объектов критической информационной инфраструктуры
11.  10
Изменение формата комиссии по категорированию на «постоянно действующую» и наделение ее новым функционалом (координация и контроль за комиссиями филиалов и т.д.) потребует внесение изменений в существующие ОРД субъекта, написанными в соответствии с действующей редакцией 127-ПП. Это приведет к затягиванию этапа категорирования субъектов. Целесообразность таких изменений непонятна
Не учтено
Постоянное действие комиссии по категорированию объектов критической информационной инфраструктуры необходимо в целях своевременного установления требований по обеспечению безопасности вновь создаваемых объектов критической информационной инфраструктуры
12.   
Почему не добавлено в приложение форма Перечня объектов, подлежащих категорированию и необходимость дублирования формы в электронном виде? Ведь целесообразность этого указана в Информационном сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752
Учтено
В пункт 15 Правил добавлен абзац следующего содержания:
«Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.»
13.   
«1) пункт 3 дополнить словами «в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности»
Противоречит определению субъекта и объекта КИИ в 187-ФЗ, а также ст.7 187-ФЗ.
Никаких исключения для объектов КИИ при категорировании в 187-ФЗ не предусмотрено. В область действия ПП127, заданного в 187-ФЗ не входит определение объектов, подлежащих категорированию.
Удалить пункт 3
Учтено
Изложено в следующей редакции:
«3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».»
14.   
«6) абзац первый пункта 11 после слова «создается» дополнить словами «постоянно действующая».
Непонятна целесообразность изменения типа комиссий. Комиссия и так функционирует до приказа о ее расформировании.
Удалить пункт
Не учтено
Комиссия по категорированию объектов критической информационной инфраструктуры Российской Федерации должна действовать в субъекте критической информационной инфраструктуры Российской Федерации постоянно в целях определения принадлежности вновь создаваемых информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей к объектам критической информационной инфраструктуры и проведения их категорирования на этапе создания.
В соответствии с действующей редакцией Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации
от 8 февраля 2018 г. № 127, актом субъекта критической информационной инфраструктуры о создании комиссии может быть предусмотрен конечный срок ее функционирования
15.   
Непонятно кто тогда оформляет форму
по 236 приказу. Филиалы и представительства не являются самостоятельными юридическими лицами.
11.2. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах. В этом случае комиссия субъекта критической информационной инфраструктуры координирует, контролирует и обобщает результаты деятельности комиссий по категорированию в филиалах, представительствах
Не учтено
В соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, сведения о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий оформляются субъектом критической информационной инфраструктуры Российской Федерации
16.   
«11.3. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) субъект критической информационной инфраструктуры прекратил выполнение функций (полномочий) или осуществление видов деятельности в областях (сферах), указанных в пункте 3 настоящих Правил».
Противоречит определению субъекта КИИ в 187-ФЗ.
Удалить пункт
Не учтено
Противоречие отсутствует.
Данный случай не имеет отношения к определению субъекта критической информационной инфраструктуры Российской Федерации
17.   
«11.3. Комиссия по категорированию подлежит расформированию в следующих случаях:
б) критические процессы субъекта критической информационной инфраструктуры не выявлены или утратили свою критичность для выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), указанных в пункте 3 настоящих Правил».
Кто будет определять момент, когда критические процессы опять появятся? Комиссия то уже расформирована.
Удалить пункт
Учтено
Указанный случай удалён из пункта
18.   
«г) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.»
Не описаны признаки субъекта КИИ. При ликвидации субъекта вообще все будет утрачено, в том числе и комиссия – автоматом.
Удалить пункт
Не учтено
Признаки субъекта критической информационной инфраструктуры Российской Федерации приведены в статье
2 Федерального закона от 26 июля 2017 г. № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»
19.   
«8) в пункте 14:
подпункт «в» дополнить словами «, а также оценивает необходимость категорирования вновь создаваемых объектов критической информационной инфраструктуры».
Ст.7 187-ФЗ устанавливает обязательность категорирования всех объектов КИИ и не содержит каких-либо исключений. Если есть объект КИИ, то он обязан быть откатегорирован.
8) в пункте 14:
подпункт «в» дополнить словами «, а также оценивает необходимость категорирования вновь создаваемых ИС/АСУ/ИТКС
Учтено
Изложено в следующей редакции:
«8) в пункте 14:
подпункт «в» дополнить словами «, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей»;»
20.   
«8) в пункте 14: в подпункте «д» слова «и уязвимости» исключить».
Изучение угроз на уровне комиссии бессмысленно и избыточно, там не специалисты ИБ.
Данный процесс бессмысленный для категорирования, результат выявления угроз никак не используется при оценке применимости показателей значимости.
Подпункт «д» исключить
Не учтено
На основе результатов анализа угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры Российской Федерации, определяются возможные компьютерные инциденты, для которых определяются возможные последствия
21.   
«8) в пункте 14: В случае, если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» настоящего пункта, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.».
Бессмысленно. Для категорирования важен только масштаб возможных последствий от нарушения деятельности конкретного объекта.
Удалить пункт
Не учтено
Масштаб возможных последствий может различаться в зависимости от типа компьютерного инцидента и компонентов объекта критической информационной инфраструктуры, на которых он произошел
22.   
«8) в пункте 14: В случае, если критический процесс зависит от иных критических процессов субъекта критической информационной инфраструктуры, предусмотренных подпунктом «е» настоящего пункта, оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых критических процессов.».
Оценка производится объекта, а не процессов.
В п. «е» нет никакого упоминания процессов.
«е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;».
Удалить пункт
Не учтено
Негативные последствия возникают при нарушении критического процесса
23.   
«9) пункт 15 изложить в следующей редакции: Перечень действующих объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен.».
Не указано, что подразумевается под «действующими объектами»
Учтено
Изложено в следующей редакции:
«Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения.»
24.   
«5.   Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов):
- менее или равно 24,
но более 12
- менее или равно 12, но более 6
- менее 6».
Неоднозначность для показателя «6»
Учтено
Для первой категории значимости объектов критической информационной инфраструктуры Российской Федерации по данному показателю определено значение «менее или равно 6»
25.   
«14. Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка6), оцениваемое
в максимально допустимом времени,
в течение которого информационная система может быть недоступна пользователю (часов):
- менее или равно 4, но более 2;
- менее или равно 2, но более 1;
- менее 1».
Неоднозначность для показателя «14»
Учтено
Для первой категории значимости объектов критической информационной инфраструктуры Российской Федерации по данному показателю определено значение «менее или равно 1»
26.   
Указать в самом Постановлении, что оно вступает в силу с 01.06.2019. В правилах категорирования убрать
Не учтено
Предполагается, что указанное постановление Правительства Российской Федерации должно вступить в силу в установленном порядке
27.   
Добавить приложение 3. Типовая форма Перечня
Не учтено
Не предмет регулирования постановления Правительства Российской Федерации
28.   
Добавить обязательность отправки в бумажной и электронной форме (Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752)
Учтено
Соответствующее положение включено в проект постановления Правительства Российской Федерации
29.   
«9) пункт 15 изложить в следующей редакции: …. По мере необходимости указанный перечень может быть дополнен или изменен.».
Нет описания процедуры дополнения или изменения уже утвержденного Перечня.
Внести описание процесса
Учтено
Соответствующее положение включено в проект постановления Правительства Российской Федерации:
«Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения.»
30.   
«9) пункт 15 изложить в следующей редакции: По решению руководителя субъекта критической информационной инфраструктуры в перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.».
Филиалы и представительства субъекта КИИ не являются отдельными юридическими лицами. Все объекты КИИ принадлежат только самому субъекту КИИ. Перечень субъекта КИИ обязан содержать все объекты КИИ, включая и филиальные/представительские.
Удалить пункт
Учтено
Изложено в следующей редакции:
«В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.»
31.   
Пункт 2 Изменений противоречит существующему принципу, изложенному в действующей версии ПП-127, и принципу, вносимому поправкой пункта 11) настоящих подготовленных Изменений.
Удалить из Изменений
Не учтено
Противоречие отсутствует
32.   
Пункт 3 Изменений предлагаю пересмотреть или изложить в ином виде предлагаемые требования, так как в большинстве случаев (из практики) при создании ОКИИ в рамках капитального строительства у Заказчика или Застройщика нет сведений о возможных значениях показателей.
Удалить «в том числе в рамках создания объекта капитального строительства»
Не учтено
У заказчика, технического заказчика или застройщика на этапе создания объекта капитального строительства достаточно исходных данных для определения категории объекта критической информационной инфраструктуры Российской Федерации
33.   
«Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры в том числе на основе данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых ему этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями.».
Считаю, что Субъект КИИ самостоятельно понимает или определяет возможные последствия от нарушения или прекращения функционирования ОКИИ. Владельцы или эксплуататоры ПО и/или ПАК не знают реальных значений, что приведет к неправильным результатам категорирования.
Предлагаю удалить из текста Изменений в п.4 требование о получении данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых Субъекту КИИ государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, или заменить словосочетание «в том числе» на «и, при решении комиссии по категорированию, на основе данных…»
Не учтено
Категорирование указанных объектов осуществляется субъектом критической информационной инфраструктуры Российской Федерации самостоятельно с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств.
Наличие указанных данных необходимо для корректного категорирования объектов критической информационной инфраструктуры Российской Федерации
34.   
Пункт 11.3 предлагаю переработать, так как предлагаемыми формулировками данного пункта нарушается принцип постоянного контроля и совершенствования, в том числе усиливаемые предложениями в настоящем же тексте Изменений дополнением в первый абзац п.11 про «постоянно действующую Комиссию по категорированию», а именно:
1)     В подпункте б) п.11.3 исключить слова «не выявлены», так как согласно этого принципа после первого собрания Комиссии и признания ей некритичными рассматриваемые процессы, разрешается Субъекту КИИ больше не заниматься темой 187-ФЗ, хотя в большинстве организаций бизнес-процессы постоянно модернизируются и изменяются, что может привести к их критичности в дальнейшем;
2)     Удалить подпункт в) п.11.3, так как ОКИИ снова могут появиться у Субъекта КИИ, но Комиссия уже будет расформирована, и вопросами законодательства в области обеспечения безопасности КИИ организации легитимно разрешено будет не заниматься.
В подпункте б) п.11.3 исключить слова «не выявлены».
Подпункт в) п.11.3 исключить
Учтено
Изложено в следующей редакции:
«Комиссия по категорированию подлежит расформированию ?в следующих случаях:
а) субъект критической информационной инфраструктуры прекратил выполнение функций (полномочий) или осуществление видов деятельности ?в областях (сферах), указанных в пункте 3 настоящих Правил;
б) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.»
35.   
Пункт 8 Изменений.
К подпункту в) комментариев нет. Но предлагаю подпункт б) дополнить фразой «выявляет и пересматривает критичность процессов».
В подпункт б) п.14 добавить требование о пересмотре критичности процессов
Не учтено
Критичность процессов в течение времени не изменяется
36.   
«подпункт «е» дополнить словами «, рассчитывает значения каждого из показателей критериев значимости или обосновывает их неприменимость».
Комиссия по категорированию принимает решения, а значения предоставляет рабочая группа, поэтому считаю, что слово «рассчитывает» надо заменить на «утверждает».
Заменить слово «рассчитывает» на «утверждает»
Учтено
Изложено в следующей редакции:
«, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость»
37.   
«после подпункта «ж» дополнить абзацами следующего содержания:
«При проведении работ, предусмотренных подпунктами «г» и «д» настоящего пункта, рассматриваются наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба»
Считаю данный абзац лишним, так как вызовет больше вопросов и дискуссий со стороны Субъектов КИИ по «максимальной» оценки, к тому же принцип определения возможного ущерба всегда оставался на стороне владельца объекта защиты.
Исключить настоящий абзац
Не учтено
Считаем необходимым привести данное положение в целях уточнения подхода к определению масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры Российской Федерации

38.   
В случае, если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» настоящего пункта, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.
Считаю, что текст данного абзаца правильно представить в п.9 ПП-127, так как отражает принцип категорирования ОКИИ.
Перенести данный абзац в п.9 ПП-127
Учтено
Изложено в следующей редакции:
«14.1. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.»
39.   
«В случае, если критический процесс зависит от иных критических процессов субъекта критической информационной инфраструктуры, предусмотренных подпунктом «е» настоящего пункта, оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых критических процессов.»;».
Во-первых, предполагаю, что не «предусмотренных», а «предусмотренная».
Во-вторых, считаю, что данный текст правильнее представить в п.6 ПП-127.
Перенести данный абзац в п.6 ПП-127
Учтено
Изложено в следующей редакции:
«14.2. В случае если выполнение критического процесса зависит от выполнения иных критических процессов субъекта критической информационной инфраструктуры, предусмотренная подпунктом «е» пункта 14 настоящих Правил оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.»
40.   
«Перечень действующих объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен.».
Что означает «действующий объект КИИ»? Предлагаю переформулировать.
Заменить слово «действующих» на «введенных в эксплуатацию»
Учтено
Изложено в следующей редакции:
«Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения.»
41.   
«Вновь создаваемые объекты критической информационной инфраструктуры в утвержденный перечень не включаются.»
Какая смысловая нагрузка данного абзаца? Очевидно из формулировок выше по тексту ПП-127, что в Перечень ОКИИ вносятся вводимые в эксплуатацию ОКИИ.
Исключить абзац из текста Изменений
Учтено
Указанное положение исключено из проекта постановления Правительства Российской Федерации
42.   
«Максимальный срок категорирования не должен превышать шести месяцев со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (дополнений, изменений).».
Считаю указанный срок неприемлемым, в связи с отсутствием ресурсов и возможностей у Субъектов КИИ. Данный срок предполагаю корректным для вводимых в эксплуатацию новых ОКИИ, а для существующих введённых в эксплуатацию ОКИИ оставить утвержденный срок в 1 год.
Переформулировать абзац:
Максимальный срок категорирования введённых в эксплуатацию до 1 июня 2019 объектов критической информационной инфраструктуры не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. Для объектов критической информационной инфраструктуры, вводимых после 1 июня 2019 максимальный срок категорирования не превышать шести месяцев со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (дополнений, изменений)
Учтено
Изложено в следующей редакции:
«Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).»
43.   
«По решению руководителя субъекта критической информационной инфраструктуры в перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.».
Филиалы и представительства не являются самостоятельными юридическими лицами, поэтому Перечень ОКИИ должен подаваться от имени юридического лица Субъекта КИИ.
Удалить абзац
Учтено
Изложено в следующей редакции:
«В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.»
44.   
«пункт 18 дополнить абзацем следующего содержания:
«По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах «а», «б», «в» и «з» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры. Сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение).».
Коллеги, считаю, что принцип категорирования и уведомления ФСТЭК России должен быть сохранен и применен к введенным в эксплуатацию ОКИИ.
Во-первых, в предлагаемом вами варианте Изменений очевидно предполагается рост нагрузки на ФСТЭК России, так как при отправлении сведений по форме, утверждённой Приказом №236 ФСТЭК России, обязательно выполнение процедур в сроки, которые установлены статьей 7 Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ).
Во-вторых, предлагаемый в данном абзаце порядок и установленные сроки в статье 7 187-ФЗ приведут к негласному «согласованию» с ФСТЭК России устанавливаемых категорий значимости.
В-третьих, процедура, установленная статьей 7 187-ФЗ, не предусматривает «этапность» подачи сведений о результатах категорирования ОКИИ.
Удалить абзац
Не учтено
Указанный порядок обеспечивает соблюдение положений статьи 7 Федерального закона от 26 июля 2017 г. № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации» в отношении создаваемых объектов критической информационной инфраструктуры Российской Федерации

45.   
Снижение нижних границ значений показателей.
Большинство Субъектов КИИ уже проводят оценку значений показателей критериев значимости по текущим значениям, часть Субъектов КИИ уже провели категорирование ОКИИ.
Не изменять значения нижних границ показателей критериев значимости
Не учтено
Повторное категорирование объектов критической информационной инфраструктуры в связи с изданием новой редакции Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений необходимо в целях обеспечения одинакового уровня безопасности однородных значимых объектов критической информационной инфраструктуры
46.   
Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» распространяет свое действие исключительно на субъектов критической информационной инфраструктуры.
Предлагаемая редакция п. 9 проекта постановления определяет порядок категорирования объектов критической информационной инфраструктуры. По смыслу данной статьи обязанность по категорированию появится у юридических лиц, не являющихся субъектами критической информационной инфраструктуры (владеющих объектами критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями).
В связи с тем, что постановление Правительства №127, не распространяет свое действие на лиц, не являющихся субъектами КИИ (у которых отсутствует обязанность категорирования), редакция п. 9 проекта постановления будет не реализуема.
На основании изложенного предлагаем п.9 постановления Правительства Российской Федерации от 8 февраля 2018 г. № 127 оставить в прежней редакции
Не учтено
Наличие указанного положения необходимо для создания правового основания для передачи данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями
47.   
Предлагается пункт 9 проекта Изменений изложить в новой редакции:
«9) пункт 15 изложить в следующей редакции:
«15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Перечень введенных в эксплуатацию на момент вступления в силу постановления Правительства Российской Федерации от 08.02.2018 № 127 объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г.
По мере необходимости перечень объектов может быть дополнен или изменен.
Вновь создаваемые объекты критической информационной инфраструктуры в утвержденный перечень объектов не включаются.
Максимальный срок категорирования не должен превышать шести месяцев со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (дополнений, изменений), за исключением введенных в эксплуатацию на момент вступления в силу постановления Правительства Российской Федерации от 08.02.2018 № 127 объектов, категорирование которых должно быть проведено не позднее 01.12.2019. (это 6 месяцев от окончания срока на утверждение перечня (01.06.2019)
Перечень объектов в течение 10 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
По решению руководителя субъекта критической информационной инфраструктуры в перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.».
Предложенные поправки обусловлены тем, что утверждение перечня объектов могло состояться до принятия проектируемых изменений в Правила категорирования, вследствие чего предложенный срок категорирования (6 месяцев со дня утверждения перечня объектов) может истечь к дате вступления в силу проектируемого постановления Правительства РФ
Учтено
Изложено в следующей редакции:
«15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. По мере необходимости указанный перечень может быть дополнен или изменен в порядке для его разработки и утверждения.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).
Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.»
48.   
Также предлагается не устанавливать требование о согласовании перечня объектов до его утверждения, так как согласующие лица (государственный орган или российское юридическое лицо, выполняющее функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры) не обязаны провести согласование в установленный срок, вследствие чего может быть не соблюдено требование об утверждении перечня объектов до 01.06.2019
Учтено
Указанное положение исключено из проекта постановления Правительства Российской Федерации
49.   
Требование об обязательном расформировании Комиссии в случаях, предусмотренных подпунктами б) и в) п.11.3, представляется излишним.
Отсутствие критических процессов или объектов КИИ у субъекта не исключает возможность их появления в дальнейшем.
Учитывая особенности корпоративного управления организации, в ряде случаев формирование и расформирование Комиссии, является трудоемким организационным процессом.
Кроме того наличие постоянно действующей Комиссии позволит периодически пересматривать процессы с целью инвентаризации и выявления критических.
В связи с изложенным предлагается предоставить субъекту КИИ право самостоятельно принимать решение о необходимости расформирования Комиссии в случаях, предусмотренных подпунктами б) и в) п.11.3, путём исключения подпунктов б) и в) из п.11.3, и добавления в пункт 11.4 в предлагаемой редакции
Учтено
Указанные случаи исключены из проекта постановления Правительства Российской Федерации
50.   
Предлагается определить нижнюю границу показателя снижения объемов продукции (работ, услуг).
Отсутствие нижней границы показателя порождает риск для 3-й категории пп. «а» и «б» при отсутствии ущерба (незначительное снижение объёмов или увеличение времени (до 0,1)) любой объект критической информационной инфраструктуры, функционирующий в области государственного оборонного заказа, подпадает под, как минимум, третью категорию (более 0, но менее или равно 10)
Учтено
Для показателя критериев значимости № 14 по третьей категории значимости установлены следующие значения:
«более 0, но менее или равно 10»

Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности