30 Января, 2019

Проект обновления ПП127 от ФСТЭК. Продолжение.

Валерий Комаров
     22.01.2019 опубликован доработанный по итогам общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127». Сравнение версий получилось очень объемным и не читаемым в формате заметки блога, так что выложил отдельным документом .
name='more'>
     Что же примечательного изменилось за время публичного обсуждения проекта документа?
   
     1.  Теперь утверждение «Не бывает субъекта КИИ без объектов КИИ» ложное!                     Достаточно исключить из устава организации сферы деятельности 187-ФЗ и не важно, что объекты КИИ остались на балансе.
«11.2. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях, установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
подпункт «б» исключен
подпункт «в» исключен
б) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.»
     Да, и обязанности субъекта КИИ возникают у организации при полном отсутствии объекта КИИ, просто при возникновении замысла о его материализации! 
      Не забудьте направить сведения о несуществующем объекте КИИ в ФСТЭК по форме 236 Приказа ФСТЭК. Как только ТЗ утвердили, так 10 рабочих дней пошло. Даже проектной документации еще нет на объект КИИ. 
 «18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
   По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах «а», «б», «в» и «з» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение).»
     

     И как быть с формулировкой из 187-ФЗ?
"8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей."

     2. Если посмотреть проект ПП127 от 2017 года, то испытаем ощущение «дежавю» - те же 6 месяцев на Перечень+12 месяцев на категорирование. Только вот уже не 2018 год исполнения, а 2019 год. Фактически, ФСТЭК признала фальстарт 187-ФЗ в 2018 году.                            Составление Перечня растянули с 6 запланированных месяцев до 18 месяцев, а срок категорирования вынуждены сохранить в 12 месяцев. Даже спустя год после вступления в силу 187-ФЗ им пришлось согласится с увеличением на 6 месяцев срока категорирования (с 6 до 12 месяцев).
«15. Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).»
      Для наглядности составил график.
   

    3. Всем организациям, выполнившим требования ПП127 в 2018 году, придется все переделывать заново. Если категорировали своими силами, то хоть опыт наработали. А, если подрядчиков привлекали, то остается только порадоваться за их бизнес и приготовить денежки снова. В наихудшем положении те субъекты КИИ, которые уже начали построение системы безопасности ЗОКИИ, есть риск испытать прелесть от изменения бюджетов и сроков при повышении категорий значимости.
«21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами.»

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite