13 Февраля, 2019

Динамика Категорирования по 187-ФЗ

Алексей Комаров

В рамках вебинара " Субъекты и объекты КИИ " уже приводил доступную на тот момент официальную статистику по числу субъектов, подавших Перечни своих объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию, и общего числа объектов в этих Перечнях:

2018-09 05 Статистика ФСТЭК
2018-09 20 Статистика ФСТЭК
2018-09 Динамика статистики ФСТЭК

В этом году состоялось ещё два официальных объявления промежуточных статистических итогов.

Виталий Сергеевич Лютиков 31 января 2019 года поделился такими данными:

В настоящее время более 1800 субъектов КИИ [...] определили объекты КИИ и осуществляют их категорирование [...] Буквально на октябрь-ноябрь эта цифра составляла всего 700 субъектов.
Более 27 000 объектов сейчас проходит оценку своей значимости на различных этапах.
Если брать приблизительные оценки, сколько всего субъектов и объектов [...] , то в настоящий момент мы считаем, что около 15% находятся в такой наиболее активной стадии.

А 13 февраля 2019 года Елена Торбенко продемонстрировала такой слайд:

2019-02 13 Статистика ФСТЭК (фото Валерии? Коржов)

Судя по всему, выше в цитате Виталия Сергеевича следует читать 1080 вместо 1800, тогда картинка получается следующая:

Синим выделена предполагаемая корректировка, курсивом - ориентировочные цифры, красным - то, что можно рассчитать на основе имеющихся данных.

7 200 - это предполагаемое общее число субъектов КИИ по оценке ФСТЭК. Справедливости ради отмечу, что если считать в цитате 15% относящимися всё же к 1800 субъектам, то всего субъектов получается около 12 000, что ещё хуже. И вот почему.

В последней строчке таблицы указана дата 07 июня 2019 года - это пять рабочих дней с предлагаемой корректировкой в ПП-127 даты (01.06.2019), когда всем субъектам КИИ необходимо будет утвердить свои Перечни объектов:

Перечень объектов в течение 5 рабочих днеи? после утверждения направляется в федеральныи? орган исполнительнои? власти, уполномоченныи? в области обеспечения безопасности критическои? информационнои? инфраструктуры. ( ПП-127 )

Получается, что если ПП-127 будет изменено согласно текущему проекту, то оставшиеся почти 85% субъектов должны будут за три с небольшим месяца (на которые к тому же приходится ещё и не один праздничный день) оперативно утвердить свои Перечни и направить их во ФСТЭК .

Наглядно малую вероятность успешности такого сценария можно представить на графике зависимости числа субъектов, подавших свои Перечни, от даты.

Субъекты КИИ (динамика и прогноз)

Собственно, на графике до середины февраля представлена динамика, а после - прогноз. График с крайней верхней точкой в 12 000 субъектов даже и рисовать не стал.

Несложные расчёты показывают, что даже если субъекты КИИ с завтрашнего дня начнут присылать Перечни в три раза активнее, чем они это делают сейчас, то реальная дата завершения сбора Перечней - что-то вроде середины марта следующего года.

Пост для краткости назван "Динамика Категорирования", поэтому стоит обратить внимание на то, что скорее всего график для второго этапа взаимодействия с регулятором (отправка Сведений по итогам Категорирования) будет почти точной копией графика отправки Перечней, но со сдвигом на год:

Максимальныи? срок категорирования не должен превышать одного года со дня утверждения субъектом критическои? информационнои? инфраструктуры перечня объектов. ( ПП-127 )

Не так много найдётся желающих отправить результаты Категорирования раньше, чем это разрешено законодательно. Сейчас Сведения поданы для 2 000 объектов, что составляет чуть больше 7% от 27 000 - общего числа объектов в отправленных Перечнях.

Поэтому справедливо ожидать, что любое спровоцированное ускорение процесса подачи Перечней неизбежно приведёт к всплеску направляемых Сведений примерно через год.

Это важно, так как ФСТЭК можно Перечни просто принять к информации, а вот Сведения нужно проверить за 30 дней на правильность и в 10-дневный срок уведомить субъекта о результатах. При этом все замечания надо обосновать:

В случае, если [ФСТЭК] выявлены нарушения порядка осуществления категорирования и (или) объекту КИИ, принадлежащему на праве собственности, аренды или ином законном основании субъекту КИИ, неправильно присвоена одна из категории? значимости и (или) необоснованно не присвоена ни одна из таких категории? и (или) субъектом КИИ представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту КИИ однои? из категории? значимости либо об отсутствии необходимости присвоения ему однои? из таких категории?, [ФСТЭК] в десятидневныи? срок со дня поступления представленных сведении? возвращает их в письменном виде субъекту критическои? информационнои? инфраструктуры с мотивированным обоснованием причин возврата. ( п.8 ст.7 187-ФЗ )

Впрочем, коллеги во ФСТЭК наверняка это всё прекрасно понимают и, думаю, готовятся (хотя бы морально).

Ну, а в наших с вами (тех, кто выполняет Категорирование, и тех, кто в этом помогает) силах помочь сотрудникам ФСТЭК, сразу готовя качественные документы, к которым ни у кого никаких вопросов не будет.


Здесь могла бы быть реклама курсов или консалтинговых услуг в части проведения Категорирования, но её не будет =)