1. Документ содержит ошибки в показателях категорий значимости. Будут вносится правки.
2. Непонятно как выполнять Подпункт «е» п.10 Правил. Кто формирует и сортирует по типам объектов КИИ статистическую информацию о произошедших ранее компьютерных инцидентах? Такая информация будет только у ГосСОПКи, и то не скоро (когда весь механизм отладится и начнет функционировать). Видимо придется «отбиваться» анализом сообщений в СМИ.
3. Появился новый термин, которого нет в ФЗ – «критические процессы». Введены многие процессы по их выявлению и анализу. Для категорирования это не имеет никакого смысла. Пункт 14 «ж» требует категорировать каждый объект, вне зависимости от его участия в критических процессах. Собственно, по-другому и не может быть, так как ПП – подзаконный акт и не может противоречить требованиям 187-ФЗ.
4. Убрали срок в 6 месяцев на составление перечня объектов КИИ. Озвучена позиция ФСТЭК, что это означает обязанность составить этот перечень к 23.02.2018. Это не так. С момента вступления ПП в силу субъект КИИ обязан начать выполнять его требования. То есть, с 20.02.2018 в субъекте обязаны начаться работы по категорированию, но не более: провести совещание (с протоколом), назначить ответственных за планирование мероприятий приказом, начать формировать комиссию и т.д. Наказания за отсутствие перечня не предусмотрено. Учет объектов всего лишь один из пунктов ПП. А вот утверждение перечня объектов уже несет юридические последствия и риски – начинается отчет 12 месяцев на категорирование, с последующими мероприятиями по созданию системы защиты. Игнорировать ПП нельзя, но подход к его выполнению должен быть продуманный.
5. Проходить процедуры согласования перечней объектов с регуляторами в установленных сферах деятельности будет утомительно. Поскольку ГИС в Москве обеспечивают деятельность в разнообразных сферах, да и непонятно как быть с комплексными системами, которые несколько сфер деятельности обеспечивают.
6. В п.2 ПП указано, что «финансирование расходов, связанных с реализацией ПП за счет бюджета на обеспечения деятельности субъекта». При этом заложен избыточный объем работ в Правила. В показателях категорирования никак не учитываются результаты п. 14 «б», «в», «г», «д» Правил. В комиссию входит множество специалистов, которые будут вынуждены отвлекаться от выполнения основной деятельности. Никто из субъектов не закладывал эти расходы в ФОТ.
2. Непонятно как выполнять Подпункт «е» п.10 Правил. Кто формирует и сортирует по типам объектов КИИ статистическую информацию о произошедших ранее компьютерных инцидентах? Такая информация будет только у ГосСОПКи, и то не скоро (когда весь механизм отладится и начнет функционировать). Видимо придется «отбиваться» анализом сообщений в СМИ.
3. Появился новый термин, которого нет в ФЗ – «критические процессы». Введены многие процессы по их выявлению и анализу. Для категорирования это не имеет никакого смысла. Пункт 14 «ж» требует категорировать каждый объект, вне зависимости от его участия в критических процессах. Собственно, по-другому и не может быть, так как ПП – подзаконный акт и не может противоречить требованиям 187-ФЗ.
4. Убрали срок в 6 месяцев на составление перечня объектов КИИ. Озвучена позиция ФСТЭК, что это означает обязанность составить этот перечень к 23.02.2018. Это не так. С момента вступления ПП в силу субъект КИИ обязан начать выполнять его требования. То есть, с 20.02.2018 в субъекте обязаны начаться работы по категорированию, но не более: провести совещание (с протоколом), назначить ответственных за планирование мероприятий приказом, начать формировать комиссию и т.д. Наказания за отсутствие перечня не предусмотрено. Учет объектов всего лишь один из пунктов ПП. А вот утверждение перечня объектов уже несет юридические последствия и риски – начинается отчет 12 месяцев на категорирование, с последующими мероприятиями по созданию системы защиты. Игнорировать ПП нельзя, но подход к его выполнению должен быть продуманный.
5. Проходить процедуры согласования перечней объектов с регуляторами в установленных сферах деятельности будет утомительно. Поскольку ГИС в Москве обеспечивают деятельность в разнообразных сферах, да и непонятно как быть с комплексными системами, которые несколько сфер деятельности обеспечивают.
6. В п.2 ПП указано, что «финансирование расходов, связанных с реализацией ПП за счет бюджета на обеспечения деятельности субъекта». При этом заложен избыточный объем работ в Правила. В показателях категорирования никак не учитываются результаты п. 14 «б», «в», «г», «д» Правил. В комиссию входит множество специалистов, которые будут вынуждены отвлекаться от выполнения основной деятельности. Никто из субъектов не закладывал эти расходы в ФОТ.
Комментариев нет:
Отправить комментарий