И опять лотерея от ФСТЭК для субъекта КИИ

И опять лотерея от ФСТЭК для субъекта КИИ

 
   Я уже упоминал раннее , что ФСТЭК не только не исправила неопределенность формулировок в ПП127, но и ввела новые через ПП452. Несмотря на полученный опыт с различными трактовками сроков предоставления перечней объектов, подлежащих категорированию. Речь в заметке пойдет про  пересмотр уже присвоенный категорий значимости. Попробуем разобраться.
name='more'>
Постановление Правительства РФ от 13.04.2019 N 452
"О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127"
о) пункт 21 изложить в следующей редакции:
"21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.".
   При этом, никаких сроков и описания процедуры не приведено. У субъекта КИИ возникает основной вопрос, в свете анонсированного большого штрафа за нарушения порядка категорирования, а в какой срок он должен закончить пересмотр установленных категорий значимости? Замечу, что и срок давности ФСТЭК очень хочет сделать в 1 год. (Речь только про случай изменения показателей в ПП127, с пятилетним циклом пересмотра проблем нет).
    Формально, при текущей редакции ПП127, постоянно действующая комиссия субъекта КИИ обязана успеть пересмотреть все утвержденные ранее акты в течении 7 календарных дней, даже не рабочих дней. Оформить соответствующие решения и направить в ФСТЭК на согласование (при необходимости). То есть, с момента официальной публикации до момента вступления в силу.
   С 05.06.1996 по настоящее время акты Правительства РФ, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус федеральных органов исполнительной власти, а также организаций, вступают в силу одновременно на всей территории Российской Федерации по истечении семи дней после дня их первого официального опубликования, если в самом акте не установлен иной порядок вступления в силу. 
   Хорошо субъектам КИИ с небольшим количеством объектов КИИ. Напомню, что пересматривать надо весь перечень, а не только значимые объекты КИИ.
  А это иллюстрацию для субъекта КИИ в энергетики, у которого более 200 объектов .

   И надежды на неизменность показателей категорий особо нет, да и административную ответственность уж очень хочет ФСТЭК ужесточить. Грустно все это. Ведь достаточно было указать реальный срок на пересмотр в ПП452.
 
     P.S. По информации от специалистов отдела по обеспечению безопасности КИИ в УФСТЭК по ЦФО, полученной в рабочем порядке, срок на пересмотр категорий - 1 год!

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности