По результатам бурного обсуждения заметки ,
решил сделать отдельную заметку с разъяснением «на пальцах» алгоритма действий субъекта КИИ в соответствии в 187-ФЗ и ПП127.
name='more'>
По личному опыту, все делают «по мотивам пп127», на результат это не влияет. Но стоит учесть ФСТЭК при дальнейшей модернизации ПП127, да и методички от ФСТЭК мы все еще ждем и ждем.
Для начала обсуждения установим следующее:
1. ПП127 является подзаконным актом к 187-ФЗ. То есть, ПП127 разъясняет как субъекту КИИ выполнить требования Статьи 7. "Категорирование объектов критической информационной инфраструктуры" и не более!
2. 187-ФЗ определяет организации, которые станут субъектами КИИ. Никаких подзаконных актов с целью выявления субъектов КИИ среди организаций в законодательстве не предусмотрено.
3. 187-ФЗ определяет субъектов КИИ через владение организацией объектами КИИ.
4. 187-ФЗ определяет ЧТО категорировать, определяет что такое КАТЕГОРИРОВАНИЕ, а ПП127 определяет КАК категорировать (см. п.1).
* Субъекты через «обеспечение взаимодействия ОКИИ» нам не интересны, потому что у них нет собственных ОКИИ и они не выполняют ПП127 .
Вывод: Сначала в организации появляется перечень объектов КИИ. На его основании организация принимает решение, что она субъект КИИ и ей необходимо выполнять 187-ФЗ.
И только потом приступает к выполнению ПП127.
Формально ничего не мешает утвердит Перечень до создания комиссии по категорированию (далее – комиссия) и направить его в ФСТЭК.
Если комиссия внесет предложения по включению в перечень объектов других ИС/ИТКС/АСУ, не учтенных при первичном анализе (пп. «14в» 127ПП), то ответственное лицо внесет изменение в утвержденный Перечень (такое предусмотрено п.15 ПП127) и уведомит ФСТЭК.
Если комиссия ничего нового не выявила, то Перечень не меняется и в ФСТЭК ничего не направляется.
Минусы данной схемы: ранний старт отсчета 12 месяцев на работу комиссии и процессов взаимодействия с ФСБ по компьютерным инцидентам, дополнительный документооборот.
На практике реализуется вариант действий, когда Перечень утверждается после окончания работы комиссии. И формально нет помех на отправку в ФСТЭК одновременно Перечня и форм уведомления о результатах категорирования. Либо заложить в Перечень 10 рабочих дней на оформление уведомления по форме 236 приказа. То есть, сделать отправку Перечня и формы уведомления с разницей 10 рабочих дней.
Замечу, что в ПП127 однозначно указано, что «16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.». Единственный документ, который может выпустить комиссия – это акт. Причем в акте сразу указывается категория значимости.
И срок в 12 месяцев на категорирование напрямую работает только по первой схеме и немножко лукаво по второй схеме (акты готовы и подписаны членами комиссии, но не утверждены руководителем).
Отдельно отмечу, что комиссия имеет право исключительно на «готовит предложения для включения в перечень объектов». Комиссия не формирует, не утверждает, не направляет в ФСТЭК Перечень. Комиссия только может предложить ответственному специалисту включить в Перечень какие-либо ИС/АСУ/ИТКС по результатам анализа критических процессов. А вот ответственный специалист не обязан учитывать предложения Комиссии. Захочет учтет и внесет изменения в Перечень, не захочет – значит не захочет.
И еще, Комиссия не появляется сама по себе в организации. Кто то в организации должен определить персональный состав Комиссии, разработать регламентирующие ее работу документы и обеспечить их утверждение, спланировать деятельность Комиссии, подготовить исходные материалы к заседаниям Комиссии. А еще на нем будет задача по согласованию Перечней от подведомственных организаций при необходимости (в задачи Комиссии это не входит по ПП127), причем сам ведомственный центр может и не быть субъектом КИИ и никакой Комиссии у него соответственно нет.
P.S. Да, пп.4г ПП127 я трактую как формирование окончательного Перечня, по результатам предложений Комиссии.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.