Перечень ОКИИ. Как много как много в этом слове для мозга ибешного слилось.

Перечень ОКИИ. Как много как много в этом слове для мозга ибешного слилось.



    По результатам бурного обсуждения заметки ,  
решил сделать отдельную заметку с разъяснением «на пальцах» алгоритма действий субъекта КИИ в соответствии в 187-ФЗ и ПП127.
name='more'>
   По  личному опыту, все делают «по мотивам пп127», на результат это не влияет. Но стоит учесть ФСТЭК при дальнейшей модернизации ПП127, да и методички от ФСТЭК мы все еще ждем и ждем.
    Для начала обсуждения установим следующее:
1.       ПП127 является подзаконным актом к 187-ФЗ. То есть, ПП127 разъясняет как субъекту КИИ выполнить требования Статьи 7. "Категорирование объектов критической информационной инфраструктуры" и не более!
2.       187-ФЗ определяет организации, которые станут субъектами КИИ. Никаких подзаконных актов с целью выявления субъектов КИИ среди организаций в законодательстве не предусмотрено.
3.        187-ФЗ определяет субъектов КИИ через владение организацией объектами КИИ.
4.       187-ФЗ определяет ЧТО категорировать, определяет что такое КАТЕГОРИРОВАНИЕ, а ПП127 определяет КАК категорировать (см. п.1).

*             Субъекты через «обеспечение взаимодействия ОКИИ» нам не интересны, потому что у них нет собственных ОКИИ и они не выполняют ПП127 .

    Вывод:  Сначала в организации появляется перечень объектов КИИ. На его основании организация принимает решение, что она субъект КИИ и ей необходимо выполнять 187-ФЗ. 
И только потом приступает к выполнению ПП127.
   Формально ничего не мешает утвердит Перечень до создания комиссии по категорированию (далее – комиссия) и направить его в ФСТЭК.
   Если комиссия  внесет предложения по включению в перечень объектов других ИС/ИТКС/АСУ, не учтенных при первичном анализе (пп. «14в»  127ПП), то ответственное лицо внесет изменение в утвержденный Перечень (такое предусмотрено п.15 ПП127) и уведомит ФСТЭК.
   Если комиссия ничего нового не выявила, то Перечень не меняется и в ФСТЭК ничего не направляется.
   Минусы данной схемы: ранний старт отсчета 12 месяцев на работу комиссии и процессов взаимодействия с ФСБ по компьютерным инцидентам, дополнительный документооборот.

   На практике реализуется вариант действий, когда Перечень утверждается после окончания работы комиссии. И формально нет помех на отправку в ФСТЭК одновременно Перечня и форм уведомления о результатах категорирования. Либо заложить в Перечень  10 рабочих дней  на оформление уведомления по форме 236 приказа. То есть, сделать отправку Перечня и формы уведомления с разницей 10 рабочих дней.
   Замечу, что в ПП127  однозначно указано, что «16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.». Единственный документ, который может выпустить комиссия – это акт. Причем в акте сразу указывается категория значимости.
    И срок в 12 месяцев на категорирование напрямую работает только по первой схеме и немножко лукаво по второй схеме (акты готовы и подписаны членами комиссии, но не утверждены руководителем).
   Отдельно отмечу, что комиссия имеет право исключительно на «готовит предложения для включения в перечень объектов». Комиссия не формирует, не утверждает, не направляет в ФСТЭК  Перечень. Комиссия только может предложить ответственному специалисту включить в Перечень какие-либо ИС/АСУ/ИТКС по результатам анализа критических процессов. А вот ответственный специалист не обязан учитывать предложения Комиссии. Захочет учтет и внесет изменения в Перечень, не захочет – значит не захочет.
   И еще, Комиссия не появляется сама по себе в организации. Кто то в организации должен определить персональный состав Комиссии, разработать регламентирующие ее работу документы и обеспечить их утверждение, спланировать деятельность Комиссии, подготовить исходные материалы к заседаниям Комиссии. А еще на нем будет задача по согласованию Перечней от подведомственных организаций при необходимости (в задачи Комиссии это не входит по ПП127), причем сам ведомственный центр может и не быть субъектом КИИ  и никакой Комиссии у него соответственно нет.


P.S. Да, пп.4г ПП127 я трактую как формирование окончательного Перечня, по результатам предложений Комиссии.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности