Логичным следствием попытки внесения изменений в ПП127 ( https://valerykomarov.blogspot.com/2021/07/127.htm , https://valerykomarov.blogspot.com/2021/07/127_29.html ) стала публикация проекта приказа ФСТЭК "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" https://regulation.gov.ru/Projects/List#npa=118599
Общественное обсуждение до 12 августа 2021 года. Направляем свои замечания и предложения, пока есть возможность.
name='more'> Отмечу положительные изменения в процедуре – адреса основной и дополнительной электронной почты для направления замечаний теперь различаются.
ФСТЭК проанализировала свой опыт ведения Реестра ЗОКИИ – «разработан по результатам мониторинга правоприменения Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227»
Первые ЗОКИИ появились уже в 2018 году, так что опыт накоплен многолетний и достаточный у ФСТЭК. Цели внесения изменений тоже вопросов не вызывают:
Заявленная цель изменений – «обеспечение актуальности и достоверности сведений, содержащихся в реестре ЗОКИИ, а также на повышение удобства ведения этого реестра.»
Но вот реализация странная.
Предлагают внести изменения в п.6 Приказа и разделить ТЭК и Энергетику. С точки зрения 187-ФЗ: это правильно, так как в ст.2 они указаны как разные сферы функционирования объектов КИИ.
Повлияют эти изменения лишь на кодировку регистрационного номера в Реестре. На достоверность сведений не влияет, но возможно повысит удобство использования Реестра. Для нас больше критично понять: где проходит граница между «Энергетика» и «ТЭК», но это уже выходит за рамки приказа 227.
Следующий пункт изменений более значительный и направленный на обеспечение достоверности информации в Реестре ЗОКИИ. А как же удобство?
«8. В случае изменения сведений о лицах, эксплуатирующих значимые объекты критической информационной инфраструктуры, о программных и программно-аппаратных средствах, используемых на значимых объектах критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии), а также об угрозах безопасности информации и о категориях нарушителей в отношении значимых объектов критической информационной инфраструктуры либо об отсутствии таких угроз субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее 10 рабочих дней со дня их изменения на бумажном и электронном носителях.».
И вот здесь непонятно, а причем здесь приказ о ведение Реестра?
Перечень сведений, обрабатываемых в Реестре ЗОКИИ установлен ст.8 187-ФЗ. В него никаких изменений не вносится. Каким образом мы повышаем достоверность сведений, которых в Реестре ЗОКИИ просто нет?
Почему не важна достоверность сведений из Реестра ЗОКИИ «а», «б», «д», «ж»?
Запрос актуализированных сведений о ЗОКИИ, не входящих в Реестр ЗОКИИ целесообразнее прописывать в 235 приказ ФСТЭК, как одну из функций подразделения безопасности.
Далее, а в каком формате должен субъект КИИ эти сведения направлять? Почему не учитывается опыт по 236 Приказу и форме Перечня объектов КИИ, подлежащих категорированию? Потом опять будут вносить изменения что принимаем только в .otdили .jts? Что мешает сразу прописать «измененные сведения направляются с выполнением требований 236 приказа? Где реализация заявленной цели – удобство ведения Реестра ЗОКИИ?
И самое интересное изменение в приказ 227:
в абзаце втором пункта 12 слова «по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах» заменить словами «ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах)».
Заменим и прочитай целиком пункт:
Сведения из Реестра могут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах), отнесенных в компетенции этих государственных органов или российских юридических лиц.
Отлично получилось, но нет.
Видим замену «объект, функционирующий в сферах КИИ» на «субъект, осуществляющий деятельность в регулируемой сфере». И это принципиально различается.
Согласно ст.8 187-ФЗ Реестр ЗОКИИ ведется с целью учета ЗОКИИ, а не субъектов КИИ. Реестр ЗОКИИ не содержит информации о сфере деятельности субъекта КИИ. В форме, утвержденной Приказом ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий", такая информация не запрашивается и не предоставляется субъектом КИИ в ФСТЭК России.
Видимо группировка сведений на запрос органа власти будет по п. «б» Реестра - наименование субъекта КИИ, а запрашивающий орган власти будет как то доказывать ФСТЭК, что интересующий его субъект КИИ относится к его «зоне ответственности».
Еще, а что означает формулировка приказа «Сведения из Реестра могут предоставляться государственным органам … ежеквартально»?
Вот первый абзац из этого же пункта действующей редакции:
Сведения из Реестра не реже чем один раз в месяц направляются в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со статьей 5 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"
Никто же не стал писать «сведения в ГосСОПКУ могут направляться ежемесячно».
Если уж прописываете конкретную периодичность предоставления информации, то значит она обязательная. ФСТЭК ежеквартально направляет в органы власти,…., сведения обо всех ЗОКИИ всех субъектов КИИ, осуществляющих деятельность в регулируемых сферах.
Не раскрыт в приказе и формат предоставления таких сведений. В п.2 Приказа 227 прямо указано, что информация предоставляется в бумажном и электронном виде. У нас ведь выписки из Реестра будут с грифом ГТ идти?
* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.
** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
