Получите обновленное ПП127. Разбор проекта НПА.

Получите обновленное ПП127. Разбор проекта НПА.


     После рассмотрения сопроводительных документов к проекту изменений в ПП127 и оценки озвученных целей этих изменений - https://valerykomarov.blogspot.com/2021/07/127.html , пришла пора обсудить сам текст проекта Постановления Правительств от ФСТЭК.

    С 2019 года практика применения ПП127 уже сложилась, появилось много замечаний и предложений по доработке Правил категорирования второй редакции. Эти пожелания неоднократно озвучивались представителями субъектов КИИ и находили отклик от представителей ФСТЭК на публичных мероприятиях. Начиная от простейших вопросов с неоднозначностью внесения изменений в Печень объектов КИИ, подлежащих категорированию и заканчивая инициативой самой ФСТЭК по методическому обеспечению организации работы постоянно действующей комиссии по категорированию субъектов КИИ. А видим полное отсутствие попыток как-то улучшить ситуацию при внесении изменений в ПП127. Проблемы субъектов КИИ, вызванные качеством ПП127, ФСТЭК не интересны. Оказывается все дело в малом количестве надзирателей за субъектами КИИ. Пропасть между регуляторами и субъектами демонстрируется наглядно.

name='more'>

ИЗМЕНЕНИЯ, которые вносятся в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации

1. Дополнить пунктами 19.1 и 19.2 следующего содержания:

(Изменения предлагают внести в этот текст:

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".)

«19.1. В случае изменения сведений о значимом объекте критической информационной инфраструктуры, указанных в подпунктах «г», «д» и «е» пункта 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения не позднее 10 рабочих дней со дня их изменения в печатном и электронном виде по форме, указанной в пункте 18 настоящих Правил.

    По логике ПП127 это должен быть подпункт 18.1, а не 19.1.

    А по уму, этот срок должен быть указан в Приказе ФСТЭК от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации" в п.8, где уже есть действующая формулировка! – «В случае изменения сведений о значимых объектах критической информационной инфраструктуры субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России». Просто конкретизируются сроки направления измененных сведений. Проектный пункт вообще не имеет отношения к области действия ПП127, поскольку касается изменений не повлекших пересмотр результатов категорирования. Это не этап категорирования объекта КИИ.

    Теперь к вопросу о самих сведениях, указанных в подпунктах «г», «д» и «е» ПП127:

    Сравним с сведениями, которые вносятся ФСТЭК в Реестр ЗОКИИ (жирным выделены проектные требования по подпунктам

5. В соответствии с частью 1 статьи 8 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" в Реестр вносятся следующие сведения о значимом объекте критической информационной инфраструктуры:

а) наименование значимого объекта критической информационной инфраструктуры;

б) наименование субъекта критической информационной инфраструктуры;

в) сведения о взаимодействии значимого объекта критической информационной инфраструктуры и сетей электросвязи;

г) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;  - г) сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

д) категория значимости, которая присвоена объекту критической информационной инфраструктуры субъектом критической информационной инфраструктуры;

е) сведения о программных и программно-аппаратных средствах, используемых на значимом объекте критической информационной инфраструктуры; - д) сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии)

ж) меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры.

    Из 7 типов сведений, вносимых в Реестр ЗОКИИ совпали только два «г-г» и «е-д» .Почему остальные сведения не требуют такого жесткого регулирования обновлений? А проектный подпункт «е» вообще в Реестр ЗОКИИ не вносится

 ---е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз.

     А зачем? Они же не вносятся в реестр ЗОКИИ. Что ФСТЭК будет с ними делать? 

    И перечень этих сведений конечен, он ограничен ч.1 ст.8 187-ФЗ.

    Вывод: проектный пункт 19.1 содержит не обоснованное статьями 187-ФЗ требование в части сведений подпункта «е». Указание сроков направления ВСЕХ обновленных сведений, включаемых в Реестр ЗОКИИ, целесообразно, но должна быть внесено в п.8 приказа ФСТЭК № 227. Из проекта ПП данный подпункт исключить.

    Перейдем к следующему проектному подпункту.

19.2. Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществляют ведомственный и (или) отраслевой мониторинг состояния работ по категорированию, в том числе актуальности и достоверности сведений, направляемых в соответствии настоящими Правилами в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. По результатам мониторинга государственные органы и российские юридические лица принимают меры по недопущению нарушения субъектами критической информационной инфраструктуры сроков выполнения работ по категорированию, в том числе по соблюдению актуальности и достоверности сведений.».

    Понятно почему используется термин «мониторинг», а не контроль. Уж слишком явное дублирование обязанностей ФСТЭК получится. Но все портит проектное требование к органам власти  «принимают меры по недопущению нарушения субъектами..». Это уже выходит за рамки мониторинга и противоречит ст.7 187-ФЗ 

п.11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.

    Как должны распределятся зоны ответственности между региональными и федеральными органами власти в указанных сферах? Кто будет осуществлять координацию деятельности органов власти по проектным требованиям и на основании чего? Мало того, что не определен перечень органов власти, на которые распространяют эти задачи, так и отсутствует ясность их взаимодействия при решении задач.

    Это все детали, есть более серьезные противоречия с действующим законодательством.

1. Смотрим область действия ПП127, заданную 187-ФЗ.

Статья 7. Категорирование объектов критической информационной инфраструктуры

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры.

    Если органы власти не субъекты КИИ, то на каком основании им что-то указывает подзаконный акт, которым обязаны руководствоваться исключительно субъекты КИИ? 

    Если посмотреть действующую редакцию ПП127, то там описаны исключительно действия субъектов КИИ. Даже действия ФСТЭК по проверке результатов категорирования прописаны в ст.7 187-ФЗ, а не ПП127. И как дана формулировка про упомянутые органы власти при согласовании Перечней объектов КИИ в п.15. 

2. В 187-ФЗ есть отдельная статья с полномочиями органов власти

Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры

    Если ФСТЭК желает нагрузить дополнительными полномочиями органы власти, то необходимо прописывать изменения в эту статью закона, а не в ПП127.

    Вывод: проектный пункт 19.2 содержит не обоснованное статьями 187-ФЗ требование к органам власти. Должны быть внесены в ст.6 и ст.7 187-ФЗ. Из проекта ПП данный подпункт исключить.

И куда же нам без «продажи страха»?

2. Дополнить пунктом 22 следующего содержания:

«22. За непредставление или нарушение сроков представления сведений, предусмотренных настоящими Правилами, субъекты критической информационной инфраструктуры несут административную ответственность в соответствии с законодательством Российской Федерации.».

    А причем здесь ПП127? Состав административного правонарушения устанавливает исключительно КоАП. Все уже прописано в 141-ФЗ. И от наличия указания в пункте Постановления Правительства ничего нового не появится. Это если не вдаваться в глубину мысли написанного, это просто не имеет смысл.

     Более того, этот проектный пункт полностью дублирует 187-ФЗ, где уже указана ответственность за невыполнение требований ПП127, включая непредставление/нарушение сроков и т.д. 

187-ФЗ Статья 14. Ответственность за нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов

Нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации.

    Вывод: проектный пункт 22 избыточный для области действия ПП27, содержит дублирующие положения из действующего законодательства. Из проекта ПП данный подпункт исключить.

    Отдельных замечаний требует довод авторов проекта «Принятие проекта постановления Правительства Российской Федерации не потребует внесения изменений в нормативные правовые акты и дополнительных расходов средств федерального бюджета, а также иных бюджетов бюджетной системы Российской Федерации.»

     Так проектный п.19.2 потребует изменений в ст. 6 187-ФЗ и в соответствующих законах по конкретным органам власти, задействованных в мониторинге субъектов КИИ. Почему то ФСТЭК внесла изменения в Указ Президента о Положении ФСТЭК России после появления новых полномочий по 187-ФЗ.

    Вывод об отсутствии бюджетных расходов преждевременный и не обоснованный. Необходимо оценить распределение субъектов КИИ по отраслям и ведомствам, на основе таких данных провести оценку трудозатрат на мониторинг субъектов КИИ в каждом ОИВ. Возможно, что есть сферы с небольшим количеством субъектов КИИ и вполне справятся с дополнительной нагрузкой штатные специалисты органа власти, но в здравоохранении или в транспорте десятки тысяч субъектов КИИ. У ФСТЭК есть трехлетний опыт по контролю результатов категорирования субъектов КИИ в разных сферах. Необходимо обосновать такие выводы.


P.S. Законопроект не учитывает реалии экономической деятельности в стране. И все упирается опять же в терминологию 187-ФЗ. У нас в сферах КИИ функционируют ОБЪЕКТЫ, а мониторить нам предлагают по сферам деятельности СУБЪЕКТОВ. И встанет две проблемы:

1. Неопределенность для ситуации, когда организация осуществляет деятельность в нескольких отраслях.

2. Субъект КИИ в одной отрасли, а его объекты КИИ в других сферах функционируют. 


Итог: 

1. Предложенные решения не направлены на решение заявленных целей – повысить верность оценки правильности присвоения категории значимости субъектами КИИ.

2. Предлагаемые изменения требуется вносить в другие НПА (приказ ФСТЭК №227 и 187-ФЗ), а не в ПП127.

3. Отсутствует финансово-экономическое обоснование законопроекта.

4. Законопроект необходимо снимать с рассмотрения.

5.     Без изменения 187-ФЗ не обойтись. Пора актуализировать законодательство по безопасности КИИ комплексно и целиком. Включая корректировку состава преступления в ст.274.1 УК РФ.


* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


*** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite


****  YouTube - канал блога


***** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


****** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite


Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности