Мнение о полномочиях ФСТЭК при определении перечня объектов КИИ у субъекта КИИ, подлежащих категорированию. А так же о "критических процессах".
1. Смотрим первоисточник, то есть 187-ФЗ: СТ.7 "1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.", то есть категорированию подлежат ВСЕ объекты КИИ у субъекта КИИ. Никаких исключений не предусмотрено.
ст.7 "4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.". Однозначно указано, что ПП127 определяет ТОЛЬКО порядок ПРИСВОЕНИЯ категории. То есть, ПП127 не имеет силы при процессе определении объектов КИИ у субъектов КИИ.
ст.7 "4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.". Однозначно указано, что ПП127 определяет ТОЛЬКО порядок ПРИСВОЕНИЯ категории. То есть, ПП127 не имеет силы при процессе определении объектов КИИ у субъектов КИИ.
2. Смотрим подзаконный акт, который не может противоречить 187-ФЗ, то есть ПП127:
"3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры." - не предусмотрено никаких исключений. Отдельный пункт ПП говорит о категорировании ВСЕХ объектов КИИ у субъекта. Все в рамках 187-ФЗ.
"3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры." - не предусмотрено никаких исключений. Отдельный пункт ПП говорит о категорировании ВСЕХ объектов КИИ у субъекта. Все в рамках 187-ФЗ.
"5. Категорирование включает в себя:
а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
.....
е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости." - опять же КАЖДОМУ.
"10. Исходными данными для категорирования являются:
"10. Исходными данными для категорирования являются:
б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;" - обратите ВНИМАНИЕ, учитывать необходимо п.3, а не п.5б.
"14. Комиссия по категорированию в ходе своей работы:
а) определяет процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов;
г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
ж) устанавливает КАЖДОМУ из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости." - отдельно указаны процессы и критические процессы. Анализ действий нарушителя и угроз безопасности для всех объектов, без исключения.
Выводы:
1. Определение объекта КИИ и необходимость его категорирования определяет только 187-ФЗ, ПП127 описывает только порядок категорирования, но не объект категорирования.
2. ПП127 не может противоречить 187-ФЗ и оно ему не противоречит. В ПП127 так же обязывает категорировать каждый объект КИИ.
3. У ФСТЭК/ФСБ нет полномочий по определению объектов категорирования. ФСТЭК имеет полномочия только на проверку правильности категорирования объекта и ведение реестра значимых объектов.
4. "критические процессы" - это правильная идея, заложенная ФСТЭК в ПП127. Она позволяет выделить из всего Перечня объектов те объекты, которые будут ЗНАЧИМЫМИ. Но это совершенно не значит, что остальные объекты не надо категорировать. Понятное дело, что ФСТЭК интересуют только критические процессы, потому что они занимаются только ЗНАЧИМЫМИ объектами КИИ. Именно это имел Лютиков в виду.
5. В 187--ФЗ, 193-ФЗ и 194-ФЗ ответственность для субъекта КИИ наступает для всех объектов КИИ,а не только обеспечивающих критические процессы.
1. Определение объекта КИИ и необходимость его категорирования определяет только 187-ФЗ, ПП127 описывает только порядок категорирования, но не объект категорирования.
2. ПП127 не может противоречить 187-ФЗ и оно ему не противоречит. В ПП127 так же обязывает категорировать каждый объект КИИ.
3. У ФСТЭК/ФСБ нет полномочий по определению объектов категорирования. ФСТЭК имеет полномочия только на проверку правильности категорирования объекта и ведение реестра значимых объектов.
4. "критические процессы" - это правильная идея, заложенная ФСТЭК в ПП127. Она позволяет выделить из всего Перечня объектов те объекты, которые будут ЗНАЧИМЫМИ. Но это совершенно не значит, что остальные объекты не надо категорировать. Понятное дело, что ФСТЭК интересуют только критические процессы, потому что они занимаются только ЗНАЧИМЫМИ объектами КИИ. Именно это имел Лютиков в виду.
5. В 187--ФЗ, 193-ФЗ и 194-ФЗ ответственность для субъекта КИИ наступает для всех объектов КИИ,а не только обеспечивающих критические процессы.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Комментариев нет:
Отправить комментарий