вторник, 3 июля 2018 г.

Официальная позиция ФСТЭК по срокам выполнения 187-ФЗ


      С момента публикации 13 февраля 2018 года ПП127 в обновленном варианте (исключен срок в 6 месяцев на инвентаризацию объектов КИИ), остро стоит вопрос о риске привлечения к ответственности субъекта КИИ за невыполнение требований 187-ФЗ. И особенно важен вопрос об обязательности создания системы безопасности значимых объектов КИИ до момента внесения сведений в реестр ФСТЭК.

      Здесь важно два момента:
1. значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры (187-ФЗ).
2. «Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации» (п.6 ст.13.12 КоАП).
         Итого: Законодательно установлены требования о защите информации только для ЗНАЧИМЫХ объектов КИИ. А по 187-ФЗ таковыми становятся объекты КИИ не по факту утверждения акта категорирования субъектом КИИ, а только по факту внесения сведений в реестр ФСТЭК.
         Соответственно, для субъекта КИИ была «вилка» по административной ответственности: провести категорирование и уведомить ФСТЭК – попадание под ст.13.12 КоАП (235 и 239 приказы вышли с задержкой, да и невозможно их быстро выполнить- закупочные процедуры, конкурсы и т.д.) или попасть под ст.19.5 КоАП за невыполнение предписания ФСТЭК/ФСБ о проведении категорирования (наказания за невыполнение 187-ФЗ и ПП127 не предусмотрено).
         Рассмотрим в данной заметке вопрос «сначала создаем СБ значимого объекта КИИ и потом оформляем акт категорирования с последующим уведомлением ФСТЭК или выполняем в полном объеме ПП127 и потом приступаем к реализации 235 и 239 приказов ФСТЭК?».
         Сотрудники ФСТЭК неоднократно озвучивали на конференциях и семинарах позицию, что сначала категорирование и внесение информации в реестр, а потом создание системы безопасности для значимых объектов КИИ.
         Но это были устные указания, пусть и публичные.
         А вот далее было оформлено решение Коллегии ФСТЭК России от 24.04.2018 №59, сроки из которого были использованы для официального доведения потенциальным субъектам КИИ в регионах по всей стране
https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf
Это уже серьезные документы, которые четко  и официально фиксируют позицию одного из регуляторов в сфере КИИ.
        Что мы видим интересного в сроках:
1. Перечень необходимо создать до 1 августа 2018 года, то есть – те же 6 месяцев, что исчезли из текста ПП127 при утверждении.
2. Категорирование провести до 1 января 2019 года, а это существенное ужесточение. По ПП127 дается 12 месяцев на процедуру категорирования, срезали до 5 месяцев. Ужесточение даже по сравнению с формальным подходом к выполнению ПП127 – 21 февраля 2019 года, ужесточение на полтора месяца. https://valerykomarov.blogspot.com/2018/03/blog-post_81.html
3. И самое главное: создание систем безопасности значимых объектов КИИ до 1 сентября 2019 года. ФСТЭК считает разумным срок в 8 месяцев на создание системы безопасности. И первичнее  - категорирование.

        Что необходимо учесть субъектам КИИ:
1. Эта позиция ФСТЭК для «мирного» времени. Если в РФ случится серьезный инцидент на объектах КИИ с тяжкими последствиями или с существенным имиджевым ущербом для страны, то «гайки зажмут» по срокам моментально и для всех.
2. До 1 апреля  2019 года у ФСТЭК не будет юридических оснований для привлечения к ответственности за отсутствие категорирования. (только с 21.02.2019 возможен запрос о результатах категорирования у субъекта).
3. ФСТЭК не планирует применять п.6 ст.13.12 КоАП в период с 21.02.2019 по 01.09.2019 года.
4. ФСБ ничего не обещала. И имеет такие же полномочия по привлечению к административной ответственности, что и ФСТЭК. Во всяком случае, региональные управления ФСБ не возражают против этих сроков от ФСТЭК.
5. На риск привлечения к уголовной ответственности по ст.274.1 УК РФ позиция ФСТЭК никак не влияет.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

***Спасибо Сергею Борисову за скан документа
http://sborisov.blogspot.com/2018/07/3.html?spref=tw

9 комментариев:

  1. Я полагал, что серьёзные документы - это те, которые официально опубликованы на Портале правовой информации. И, все же, речь идёт о всей стране или только о Томской области и Приволжью, где местный ФСТЭК проявляет некую активность? Кстати, в приведённом скане документа нет подписей представителей ФСТЭК (конечно, возможно, скан не полный), а нет подписи, нет и ответственности.

    ОтветитьУдалить
  2. 1. Как минимум в краснодарском крае и ещё нескольких областях на советах по ЗИ были озвучены те же строки. Далее администрация рассылает письма на министерства. Министерства на своих подведов и все ссылаются на те же сроки.
    2. Законно ли требовать от коммерческого предприятия провести категорирование в такие сроки? Вряд ли.
    А вот медицинские учреждения трепетно относятся к указаниям вышестоящего органа и местного ФСТЭК, поэтому настроены уложиться в указанные сроки ...

    ОтветитьУдалить
  3. По ЦФО все те же сроки. И выполнение сроков, установленных решением коллегии ФСТЭК, контролирует не только ФСТЭК, но и аппарат полномочных представителей Президента по ФО, для госов это очень серьёзные документы, а для коммерческого - справочная информация.

    ОтветитьУдалить
  4. Это все отлично, но только незнание закона, официально опубликованного, не освобождает от ответственности, а вот как быть с кулуарным решением?
    Я, конечно, допускаю, что госам это решение могло быть спущено. Но данный блог, полагаю, читают не только госы, поэтому надо как-то пояснить, что госам, велика вероятность, придется соблюдать эти сроки, а вот иным, скорее всего, придерживаться разумного подхода.
    А это решение где-то можно посмотреть?

    ОтветитьУдалить
  5. "кулуарное" решение коллегии ФСТЭК послужило основанием для принятия решения КИБ субъекта Федерации (изложенное в протоколе). Субъект КИИ будет отчитываться перед органом исполнительной власти своего субъекта, в рамках совершенно других взаимоотношений. Это вообще в рамках другой "вертикали власти" идет, которая замыкается на администрацию Президента и Совет Безопасности РФ. Если посмотрите на "шапку" протокола, то увидите не только госы, но и юрлица и ИП. И отчитываться будут те организации, которые попадут в лист рассылки этого протокола. В открытом доступе я решение коллегии ФСТЭК не видел.

    ОтветитьУдалить
  6. А если госорган не является субъектом критической информационной инфраструктуры?

    ОтветитьУдалить
    Ответы
    1. То он отчитается на запрос о выполнении поручения соответствующим официальным письмом. Я придерживаюсь позиции, что в каждой организации должна быть создана приказом директора комиссия с целью определения объектов КИИ. И зафиксировать коллегиальное решение об отсутствии объектов КИИ в организации отдельным актом.

      Удалить
  7. А почему нельзя в официальном ответном письме просто сослаться на ст.2, п.8.№ 187-ФЗ, ну не имеет госорган в собственности, аренде или на ином законном основании ИС,АС,ИТС соответственно и не является субъектом КИИ? Или факт отсутствия КИИ нужно зафиксировать обязательно коллегиально с комиссией?

    ОтветитьУдалить
    Ответы
    1. Это просто "размытие персональной ответственности руководителя организации". На усмотрение самой организации. Просто моя рекомендация.

      Удалить