Изменения в 282 приказ ФСБ. Итоги.

Изменения в 282 приказ ФСБ. Итоги.

 

   Кто говорил, что регуляторы игнорируют замечания граждан? И писать на регулейшн бесполезно.

   Посмотрим на итоги этапа общественного обсуждения проекта изменений в 282 приказ ФСБ -  https://regulation.gov.ru/Projects/List#npa=119676

name='more'>

  Ранее - https://valerykomarov.blogspot.com/2021/09/282.html

  Сводка предложений по результатам общественного обсуждения проекта приказа ФСБ России «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282»

Поступившие предложения

Позиция ФСБ России

Предложения Цветкова Валерия (ПАО Роснефть):

«Представляется целесообразным придерживаться единой терминологии применительно к регламентации отношений в области критической информационной инфраструктуры.

В Постановлении Правительства РФ от 08.02.2018 № 127 применительно к акту о категорировании указывается об его утверждении руководителем субъекта критической информационной инфраструктуры.

В Приказе ФСТЭК России от 21.12.2017 № 235 применительно к плану мероприятий по обеспечению безопасности критической информационной инфраструктуры также указывается об его утверждении руководителем критической информационной инфраструктуры.

В пункте 6 слово «руководством» заменить словом «руководителем».

Учтено.

Предложения Панферова Марка:

«Проектом приказа не описан порядок предоставления копии Плана в НКЦКИ, в том числе:

1) Не указан допустимый формат предоставляемой в НКЦКИ копии Плана (электронный или бумажный)

2) Не указана контактная информация, для направления копии Плана.

3) Не установлено условие, после которого необходимо в течение 7 календарных отправить копию Плана. Также полагаем, что срок направления Плана в течение 7 календарных является слишком сжатым.

Обращаем внимание, что административная ответственность, установленная частью 2 статьи 13.12.1 Кодекса Российской Федерации об административных правонарушениях, возможна и за нарушение предлагаемых изменений, в том числе срока предоставления копии Плана.

На основании изложенного предлагаем дополнить пункт 6 Проекта приказа описанием порядка направления копии утвержденного Плана, указав допустимые форматы (электронный или бумажный), а также контактную информацию для направления копии Плана.

Второе предложение изложить в следующей редакции:

«Копия утвержденного плана в срок до 10 рабочих дней с момента его утверждения субъектом критической информационной инфраструктуры направляется в НКЦКИ.».

Не учтено.

1) Предложения об установлении требований к формату представления копии Плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – копия Плана) не обоснованы. Поскольку указанные требования проектом приказа не устанавливаются, допустимо представлять копию Плана как в бумажном, так и в электронном виде с учетом правил делопроизводства субъекта критической информационной инфраструктуры и способа направления копии Плана в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ).

2) Контактная информация НКЦКИ приведена в пункте 3 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом ФСБ России от 19 июня 2019 г. № 282 (далее – Порядок).

3) Из структуры проектируемого абзаца шестого пункта 6 Порядка, включающего одновременно нормы об утверждении Плана и о направлении копии утвержденного Плана, следует, что событием, определяющим начало срока направления копии Плана, является день его утверждения. Согласно статье 191 Гражданского кодекса Российской Федерации течение срока, определенного периодом времени, начинается на следующий день после наступления события, которым определено его начало. В этой связи дополнительное уточнение в проектируемом абзаце правил исчисления указанного срока не целесообразно.

Замечание о том, что срок направления копии Плана в НКЦКИ в течение 7 календарных дней является слишком сжатым, не обосновано.

Предложения Комарова Валерия:

«Формулировка проектной части «1. Пункт 6 дополнить абзацем следующего содержания:

«Разработанный План утверждается руководством субъекта критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры. Копия утвержденного Плана в срок до 7 календарных дней направляется в НКЦКИ.» в части сроков направления утвержденного плана не конкретизирована. Не корректно сформулирована точка отсчета 7 календарных дней.

Предлагаю изменить на формулировку «Копия утвержденного Плана в срок до 7 календарных дней с даты утверждения направляется в НКЦКИ.».

Не понятно, как субъекту КИИ исполнить данное требование. На сайте НКЦКИ указана только электронная почта и сотовый телефон для контактов. В приказе
‎ФСБ № 366 о создании НКЦКИ адреса для отправки почтовой корреспонденции не указано.».

Не учтено.

Из структуры проектируемого абзаца шестого пункта 6 Порядка, включающего одновременно нормы об утверждении плана и о направлении копии утвержденного плана, следует, что событием, определяющим начало срока направления копии плана, является день его утверждения. Согласно статье 191 Гражданского кодекса Российской Федерации течение срока, определенного периодом времени, начинается на следующий день после наступления события, которым определено его начало. В этой связи дополнительное уточнение в проектируемом абзаце правил исчисления указанного срока не целесообразно.

Контактная информация НКЦКИ приведена в пункте 3 Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом ФСБ России от 19 июня 2019 г. № 282



   Действительно, на странице «контакты»  официального сайта НКЦКИ  добавили почтовый адрес. Дождались, уже польза есть.



  К сожалению, просьба пояснить замысел изменений (каких целей планирует достичь НКЦКИ введением требования высылать в столь сжатый срок утвержденные планы) отклика у НКЦКИ не нашла.




  Не появилось ясности с «обратной» силой приказа, будут ли распространятся требования на Планы, утвержденные до вступления в силу изменений. Видимо нет, все будет по стандартной схеме. Только для вновь утвержденных. 

   И надо ли повторно высылать планы, если их актуализировали по итогам ежегодных тренировок? Формально такого требования нет в проекте приказа.

   А самое печальное, что задача обеспечения безопасности ЗОКИИ от компьютерных атак перестает быть совместным делом. Если раньше «Субъект КИИ совместно с НКЦКИ планировал свою деятельность», то теперь все сам! Методичка в помощь (высылают по запросу).


P.S. А вот нерабочую ссылку на сайте надо бы поправить





Раздел "Правоприменительная практика по ст.274.1 УК РФ  "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации"  на главной страницы блога -  https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности