Обновление приказа №227 ФСТЭК России

Обновление приказа №227 ФСТЭК России

 

    Логичным следствием попытки внесения изменений в ПП127  (  https://valerykomarov.blogspot.com/2021/07/127.htm ,   https://valerykomarov.blogspot.com/2021/07/127_29.html  )  стала публикация проекта приказа ФСТЭК "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227"  https://regulation.gov.ru/Projects/List#npa=118599

    Общественное обсуждение до 12 августа 2021 года. Направляем свои замечания и предложения, пока есть возможность.

name='more'>

    Отмечу положительные изменения в процедуре – адреса основной и дополнительной электронной почты для направления замечаний теперь различаются.

    ФСТЭК проанализировала свой опыт ведения Реестра ЗОКИИ – «разработан по результатам мониторинга правоприменения Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227»

    Первые ЗОКИИ появились уже в 2018 году, так что опыт накоплен многолетний и достаточный у ФСТЭК.  Цели внесения изменений тоже вопросов не вызывают:

    Заявленная цель изменений – «обеспечение актуальности и достоверности сведений, содержащихся в реестре ЗОКИИ, а также на повышение удобства ведения этого реестра.»

    Но вот реализация странная.

    Предлагают внести изменения в п.6 Приказа и разделить ТЭК и Энергетику. С точки зрения 187-ФЗ: это правильно, так как в ст.2 они указаны как разные сферы функционирования объектов КИИ.

    Повлияют эти изменения лишь на кодировку регистрационного номера в Реестре. На достоверность сведений не влияет, но возможно повысит удобство использования Реестра. Для нас больше критично понять: где проходит граница между «Энергетика» и «ТЭК», но это уже выходит за рамки приказа 227.

    Следующий пункт изменений более значительный и направленный на обеспечение достоверности информации в Реестре ЗОКИИ. А как же удобство?

«8. В случае изменения сведений о лицах, эксплуатирующих значимые объекты критической информационной инфраструктуры, о программных и программно-аппаратных средствах, используемых на значимых объектах критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии), а также об угрозах безопасности информации и о категориях нарушителей в отношении значимых объектов критической информационной инфраструктуры либо об отсутствии таких угроз субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее 10 рабочих дней со дня их изменения на бумажном и электронном носителях.».

    И вот здесь непонятно, а причем здесь приказ о ведение Реестра?

    Перечень сведений, обрабатываемых в Реестре ЗОКИИ установлен ст.8 187-ФЗ. В него никаких изменений не вносится. Каким образом мы повышаем достоверность сведений, которых в Реестре ЗОКИИ просто нет?

    Почему не важна достоверность сведений из Реестра ЗОКИИ «а», «б», «д», «ж»?

    Запрос актуализированных сведений о ЗОКИИ, не входящих в Реестр ЗОКИИ целесообразнее прописывать в 235 приказ ФСТЭК, как одну из функций подразделения безопасности.

    Далее, а в каком формате должен субъект КИИ эти сведения направлять? Почему не учитывается опыт по 236 Приказу и форме Перечня объектов КИИ, подлежащих категорированию? Потом опять будут вносить изменения что принимаем только в .otdили .jts? Что мешает сразу прописать «измененные сведения направляются с выполнением требований 236 приказа? Где реализация заявленной цели – удобство ведения Реестра ЗОКИИ?

    И самое интересное изменение в приказ 227:

в абзаце втором пункта 12 слова «по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах» заменить словами «ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах)».

    Заменим и прочитай целиком пункт:

Сведения из Реестра могут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах), отнесенных в компетенции этих государственных органов или российских юридических лиц.

    Отлично получилось, но нет.

    Видим замену «объект, функционирующий в сферах КИИ» на «субъект, осуществляющий деятельность в регулируемой сфере». И это принципиально различается.

    Согласно ст.8 187-ФЗ Реестр ЗОКИИ ведется с целью учета ЗОКИИ, а не субъектов КИИ. Реестр ЗОКИИ не содержит информации о сфере деятельности субъекта КИИ. В форме, утвержденной Приказом ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий", такая информация не запрашивается и не предоставляется субъектом КИИ в ФСТЭК России.

    Видимо группировка сведений на запрос органа власти будет по п. «б» Реестра - наименование субъекта КИИ, а запрашивающий орган власти будет как то доказывать ФСТЭК, что интересующий его субъект КИИ относится к его «зоне ответственности».

    Еще, а что означает формулировка приказа «Сведения из Реестра могут предоставляться государственным органам … ежеквартально»?

    Вот первый абзац из этого же пункта действующей редакции:

Сведения из Реестра не реже чем один раз в месяц направляются в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со статьей 5 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"

    Никто же не стал писать «сведения в ГосСОПКУ могут направляться ежемесячно».

    Если уж прописываете конкретную периодичность предоставления информации, то значит она обязательная. ФСТЭК ежеквартально направляет в органы власти,…., сведения обо всех ЗОКИИ всех субъектов КИИ, осуществляющих деятельность в регулируемых сферах.

    Не раскрыт в приказе и формат предоставления таких сведений. В п.2 Приказа 227 прямо указано, что информация предоставляется в бумажном и электронном виде. У нас ведь выписки из Реестра будут с грифом ГТ идти?


* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

*** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

****  YouTube - канал блога

***** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности