31 Мая, 2018

Категорирование КИИ: не спеши, но поторапливайся!

Алексей Комаров

Постановлением Правительства РФ №127 от 08.02.2018 « Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений » в его первоначальной редакции (когда это ещё был только законопроект), предусматривалось два срока:

  1. Полгода с момента вступления Постановления в силу отводилось на составления перечня объектов КИИ, подлежащих категорированию (Перечня);
  2. Один год с момента утверждения Перечня — непосредственно на само категорирование.

В итоговом принятом варианте остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ « О безопасности КИИ РФ », формально конкретный срок для проведения категорирования сейчас законодательно не утверждён.

Тем не менее, уже не первый раз всплывает информация, что те или иные государственные органы рассылают письма с напоминанием о необходимости составления Перечня. Так, например, участник тематического Telegram-чата КИИ 187-ФЗ  выложил фото письма из ФСТЭК, полученного по его информации одной частной организацией Нижнего Новгорода (в сфере оборонной промышленности), ровно с таким содержанием и с дополнительными рекомендациями по формированию самого Перечня. Привожу с разрешения коллеги (Андрей, спасибо!):

Письмо ФСТЭК стр 1

В ходе своего выступления на конференции ИБ АСУ ТП КВО Виталий Лютиков ещё в феврале пояснил, что действительно срок не определён, но будут действовать по ситуации: если никто добровольно не начнёт делать Перечни, то рассмотрят вопрос с принудительным введением конкретного срока, ещё и административные меры за несоблюдение предложат ввести:  https://www.youtube.com/watch?v=WlVWGMZErHg&feature=youtu.be&t=21m49s

В целом, понятно, что рано или поздно составить Перечень придётся и каждый субъект КИИ самостоятельно решает, насколько он готов эту работу отсрочить. Однако, хотелось бы обратить внимание на один важный момент, чтобы это решение было более продуманным.

Дело в том, что, как уже отметил выше, после утверждения Перечня на проведение категорирования будет ровно год:

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. (ст.15,  ПП 127 )

В принципе, этого срока для самого категорирования достаточно (если, конечно, не принимать в расчёт длительность бюджетного планирования и продолжительность конкурсных процедур для случаев, когда к работам привлекаются внешние подрядчики), но нюанс в том, что после завершения категорирования нужно в акте и в сведениях, направляемых во ФСТЭК, указать принятые для обеспечения безопасности меры:

Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, результаты анализа угроз безопасности информации объекта КИИ, реализованные меры по обеспечению безопасности объекта КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ. (ст.16,  ПП 127 )

 

Субъект КИИ в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:
      а) сведения об объекте КИИ;
      б) сведения о субъекте КИИ, которому на праве собственности, аренды или ином законном основании принадлежит объект КИИ;
      в) сведения о взаимодействии объекта КИИ и сетей электросвязи;
      г) сведения о лице, эксплуатирующем объект КИИ;
      д)сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);
      е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;
      ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;
      з) категорию значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;
      и) организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.  (ст.17,  ПП 127 )

Вполне может получится так, что какой-то из объектов КИИ окажется значимым, но при этом требуемые меры по обеспечению его безопасности на момент проведения категорирования окажутся реализованными не в полном объёме или нереализованными вовсе. В таком случае субъект КИИ самостоятельно отправит во ФСТЭК информацию о том, что он нарушает Федеральное законодательство:

Субъекты критической информационной инфраструктуры, которым на праве собственности,аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры […] обязаны:

1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти,уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации; (ст.9 п.3 187-ФЗ )

Конечно, пока ответственности за невыполнение требований 187-ФЗ по обеспечению безопасности значимых объектов КИИ не установлено (что бы ни рассказывали отдельные интеграторы-пугатели), да и среди оснований для проведения внеплановой проверки ФСТЭК нет ничего вроде «выявление фактов несоблюдения законодательства», но все равно как-то неуютно в такой щекотливой ситуации оказаться.

Кстати, согласно Постановления Правительства РФ №162 от 17.02.2018 « Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ » одним из оснований для проведения внеплановой проверки может являться инцидент, повлекший негативные последствия. Так что ФСТЭК в таком случае сразу будет знать, какие из мер не были приняты. Слайд из презентации представителя ФСТЭК в разъяснение ПП-162:

Основания для проверок

Основания для проверок

В общем, совсем затягивать с отправкой Перечня, конечно, не стоит, но и нужно осознавать всё вышеизложенное. В более выгодном положении, конечно, находятся те, кто ранее уже занимался обеспечением безопасности своих систем — в соответствии с 17/21/31 приказами или без оглядки на них.

Ну, а если для явно значимых объектов КИИ до сих никаких мер по обеспечению безопасности не принималось, то не лучше ли будет озаботиться именно этой стороной вопроса, а не формальным выполнением важной, конечно, но всё-таки бумажной работы по отправке Перечней и сведений о категорировании?

Впрочем, в каждой конкретной ситуации нужно, конечно, разбираться отдельно и составлять дорожную карту по соблюдению требований 187-ФЗ индивидуально.

comments powered by Disqus