Некатегорируемые ОКИИ. Так бывает?

Некатегорируемые ОКИИ. Так бывает?
    К моей заметке в блоге поступил развернутый комментарий от Алексея.
    Так как предложенная модель поведения субъекта КИИ выходит за рамки вопросов по отнесению интернет-сайтов к объектам КИИ, то решил ответить в отдельной заметке.
name='more'>
    Собственно само предложение:
    "Формирование Перечня объектов КИИ, подлежащих категорированию, осуществляется в соответствии с ПП-127, а не согласно 187-ФЗ (в нем даже нет упоминания про этот Перечень). Т.е. для включения объекта в Перечень ОКИИ, подлежащих категорированию, должны совпадать некие факторы (о которых ниже) не только из 187-ФЗ, а еще и из ПП-127 (это я говорю про второй абзац рассматриваемой заметки).
     В соответствии с ПП-127 категорированию подлежат не все объекты КИИ, а только те, «которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"». Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. Обобщая эти два постулата, может закрасться подозрение, что законодатель хоть не прямо, но косвенно говорит, что все ИС/ИТС/АСУ субъекта КИИ являются объектами КИИ, но категорировать надо не все из них.          На данный счет ранее было много полемик, в ходе которых доказывалось и опровергалось это предположение. Однако недавно ФСТЭК России предложил для общественного обсуждения проект изменений в КоАП, а затем опубликовал его доработанную версию и сводку рассмотрения предложений от общественности (Вы ее публиковали здесь в своем блоге). В этой сводке есть замечательные слова, которые подтвердили указанное выше предположение, что не все объекты КИИ необходимо включать в Перечень объектов КИИ, подлежащих категорированию: «… предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации». Т.е. регулятор допускает существование таковых.
    Кроме того, сложившаяся практика формирования Перечней ОКИИ, подлежащих категорированию, показывает, что в него включаются те из объектов КИИ, которые обрабатывают критические процессы, заранее определенные комиссией по категорированию.
      Итого получается, что сайт субъекта КИИ – это всегда объект КИИ, но не всегда объект КИИ, подлежащий категорированию. Данная ИС подлежит включению в указанный перечень, если она функционирует в одной из 13 сфер, указанных в 187-ФЗ, и если обрабатывает некий критический процесс.
      Поэтому Ваш второй абзац рассматриваемой заметки я бы предложил изложить так:

«Согласно 187-ФЗ и ПП-127 для этого требуется совпадение трех факторов: это должна быть ИС, эта ИС должна функционировать в одной из 13 сфер, эта ИС должна обеспечивать или обрабатывать критический процесс».

    1. Да, действительно. Перечень объектов в 187-ФЗ не упоминается. Но проблема в том, что его роль в процессе категорирования не указана и в ПП127. Более того, в самом ПП127 Перечень вставлен так грубо, что непонятно кто его делает, зачем и на каком этапе. По "14. Комиссия по категорированию в ходе своей работы:" только готовит готовит предложения для включения в перечень объектов. А кто в субъекте эти предложения должен учесть? Кто формирует окончательный Перечень, который утверждает руководитель субъекта?

   2. В п.14 ж) "устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости." ничего про Перечень не говорится. Вот было прописано в ПП127 ""устанавливает каждому из объектов критической информационной инфраструктуры из Перечня одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости." и не было бы вопросов.
      По сути, субъект составляет Перечень, который никому не нужен. В ПП127 ни субъект не проводит никаких действий с ним, ни ФСТЭК. Интуитивно понятно зачем он нужен, но формально он нужен только для отсчета 12 месяцев на категорирование.

3. ПП127 вообще не определяет что категорировать! Область действия ПП127 четко указана в 187-ФЗ. Более того, приведено определение самого процесса категорирования "Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.". А в 187-ФЗ ничего про "обеспечение процессов не сказано вообще. Там однозначно указано, что "4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.". Не предусмотрено никакого исключения.
  4. В 187-ФЗ определение "объекта КИИ" не содержит привязки к принадлежности субъекту КИИ. 
  5. Применение упомянутого проекта статьи в КоАП юридически невозможно за обсуждаемое. У ФСТЭК нет полномочий по 187-ФЗ определять и указывать субъекту какие-либо объекты КИИ.
"проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.". И ничего более. Комиссия создана? Перечень утвержден? Акт категорирования подписан? Форма уведомления прошла согласование в ФСТЭК?      Вот только за это ФСТЭК сможет штрафовать, если закон конечно примут.
    И выглядит это как попытка ФСТЭК снизить объем поступающей информации для проверки, предпринимаемых неофициальными путями. Этакий антиDDOS. 
  6. Не знаю причем здесь сложившаяся практика формирования Перечней, если в ПП127 прямо указана последовательность действий для комиссии. Все прописано в п.5. Как ФСТЭК написал, так комиссия и поступает.
  7. Мало нам незначимых объектов КИИ, теперь еще вторая сущность "объект КИИ, вообще не подлежащий категорированию". Итого: имеем две разновидности объектов КИИ, за которые уже грозит уголовное наказание владельцу, а еще и административное наказание планируют. И их не требуется по закону защищать субъекту КИИ. Это еще не упоминая, что по 187-ФЗ в КИИ входят и не объекты КИИ.

  P.S. Так как никаких официальных разъяснений от ФСТЭК не опубликовано, но наилучшим аргументом было бы участие представителей ФСТЭК в комиссиях субъектов КИИ. Ведь комиссия принимает решение о рекомендуемых к включению в Перечень на одном из этапов  своей работы. Достаточно даже протокола заседания комиссии подведомственного ФСТЭК учреждения.  



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности