Получите обновленное ПП127. Разве таких перемен мы ждали?

Получите обновленное ПП127. Разве таких перемен мы ждали?

 

   Проект постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127»  https://regulation.gov.ru/projects#npa=118306  
    До 5 августа 2021 года есть возможность подать свои предложения и замечания, проявляем активную гражданскую позицию. name='more'>

   Стандартное занудство: почему совпадает "Адрес электронной почты для отправки предложений участниками обсуждений" и "Дополнительный адрес электронной почты"?

  Можно еще поворчать по поводу нарушения публичных заверений от Лютикова В.С. об отсутствии планов по внесению изменений в НПА, но скорее всего решение принималось уже после них

Проект постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127» разработан во исполнение подпункта «б» пункта 1 перечня поручений Президента Российской Федерации по экономическим вопросам от 5 июня 2021 г. № Прс-368.

  Смотрим Пояснительную записку и заявленные проблемы, которые хотим решить принятием обсуждаемого НПА.

  1. "Указанные сведения содержат в том числе информацию о лице, эксплуатирующем объект критической информационной инфраструктуры, о программных, программно-аппаратных средствах, используемых в объекте, сведения об угрозах безопасности информации и о потенциальных нарушителях его безопасности (подпункты «г», «д» и «е» пункта 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации".

 Проблема ФСТЭК - "Неактуальность или недостоверность сведений не позволяет оценить правильность присвоения объектам критической информационной инфраструктуры категорий значимости либо неприсвоения им таких категорий".

    Вопрос: как эти сведения влияют на результат категорирования объекта КИИ? Вот на какой показатель категории значимости они могут повлиять? ФСТЭК до сих пор не дала внятного ответа зачем она вообще это собирает на этапе категорирования с субъектов КИИ. 

   2. "В рамках государственного контроля для оценки эффективности принимаемых мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры используются программные и аппаратно-программные средства контроля. Выбор таких средств зависит от состава программных и программно-аппаратных средств, используемых на объекте критической информационной инфраструктуры." 
   Проблема ФСТЭК - "Неактуальность или недостоверность представленных 
в ФСТЭК России сведений не позволяет осуществить выбор средств контроля для оценки эффективности принимаемых мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры"
   Вопрос: Проблема касается только достоверности сведений в Реестре ЗОКИИ, а зачем вы собираетесь нагрузить другие ОИВ задачами по всем объектам КИИ. Этот пункт касается небольшого массива исключительно значимых ОКИИ. И получается, что ФСТЭК за 3,5 года действия 187-ФЗ до сих пор не определилась с средствами контроля? Пришел срок проверок, а инструмента нет?

  Какой же путь решения нам предлагает ФСТЭК?

  1. "наделить государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ 
по категорированию объектов критической информационной инфраструктуры"
    Полномочия всех отраслевых ОИВ определяются соответствующими Федеральными законами, каким образом подзаконный акт к 187-ФЗ, в котором эти ОИВ вообще не упоминаются, установит им новые полномочия? 
  И очень хотелось бы увидеть перечень отраслевых ОИВ с привязкой к конкретным сферам КИИ для начала. Я в самом начале пути 187-ФЗ пытался провести анализ -  https://valerykomarov.blogspot.com/2018/03/blog-post_23.html , очень много вопросов осталось.

   2. "предусмотреть норму о направлении в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения"
    Вообще то, эта норма уже действует почти 4 года - Приказ ФСТЭК России от 
06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации". ФСТЭК не хочет обосновать практикой применения этого приказа необходимость дублирования требований в двух НПА?
   Из интересного - ФСТЭК теперь приравнивает "отрасль" к "сфера". ("выявлены нарушения установленных требований в части категорирования субъектами критической информационной инфраструктуры, осуществляющими деятельность в отдельных отраслях (сферах) экономики")

  И классика с финансово-экономическим обоснованием:
"Принятие проекта постановления Правительства Российской Федерации не потребует внесения изменений в нормативные правовые акты и дополнительных расходов средств федерального бюджета, а также иных бюджетов бюджетной системы Российской Федерации."

    Вот интересно, а почему ФСТЭК для такой работы себе затраты из бюджета "выбил" с второй попытки, а отраслевые ФОИВ это могут сделать " за так"? 

Указ Президента РФ от 13.06.2019 N 266 "О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"

   Численность ЦА увеличили на 35 человек, а территориальных органов на 126. Это создали 8 Управление ФСТЭК, специально под КИИ.

   Пояснительная записка: "Для реализации Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" с учетом увеличения объема задач в части разработки нормативных правовых актов и методических документов, проверки соблюдения порядка категорирования и правильности присвоения объектам критической информационной инфраструктуры одной из категорий значимости, а также контроля состояния безопасности значимых объектов критической информационной инфраструктуры предполагается создание в ФСТЭК России и ее территориальных органах отдельных структурных подразделений, в связи с чем предлагается штатную численность центрального аппарата ФСТЭК России увеличить на 35 единиц, а территориальных органов ФСТЭК России - на 126 единиц."

  За это время не вышло ни одного методического документа по КИИ, не проводился государственный контроль безопасности ЗОКИИ. Из новых НПА по КИИ был выпущен только приказ №75. 

"Правительству Российской Федерации обеспечить финансирование расходов, связанных с реализацией настоящего Указа", таким образом - ФСТЭК уже получает финансирование из бюджета страны на выполнение работ по проверке соблюдения порядка категорирования. 

   Продолжение следует....


* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


*** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite


****  YouTube - канал блога


***** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


****** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite

Alt text

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности