среда, 4 июля 2018 г.

График выполнения решения ФСТЭК по 187-ФЗ

       Отразил на графике последовательность и сроки, заложенные в решении коллегии ФСТЭК России № 59.

https://valerykomarov.blogspot.com/2018/07/187.html

         Сделал сравнение выполнения ПП127 и решения ФСТЭК № 59.

        Нюансы варианта ФСТЭК:

1.       Риск внеплановых проверок наступает на 3 месяца раньше.

2.       8 месяцев под угрозой привлечения к административной ответственности по п.6 ст.13.12 (для значимых объектов).
3.       Обучение специалистов для значимых объектов КИИ проводим ДО окончания этапа категорирования.


        Итог: ФСТЭК очень желает иметь к 1 сентября 2019 года значимые объекты КИИ, внесенные в реестр и защищенные по 235/239 приказам. Учитывая, что этот срок был заложен и в первоначальном проекте ПП127 (февраль 2017+6 месяцев+12 месяцев = сентябрь 2019), то у ФСТЭК явно есть очень веские причины для этого. Рекомендую потенциальным субъектам со значимыми объектами КИИ это учитывать в планировании своей работы.

        P.S. Задержка с утверждением документов ФСБ и МКС может привести к очень неприятным последствиям для субъектов КИИ при таком раскладе дел.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

25 комментариев:

  1. Прелестно, а как быть тем у кого, допустим, сейчас нет ОКИИ, но они появятся к концу года? Тоже соблюдать эти сроки?

    ОтветитьУдалить
    Ответы
    1. Частично. Комиссию и планирование в эти сроки. А вот дальше в зависимости от ситуации. Вы знаете, что создается объект КИИ. Определяете требуемую категорию и разрабатываете требования по защите (ЧТЗ). Если принято решение, что будет значимый объект, то - Ввод в действие значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности. (приказ 239).

      Удалить
    2. Как это частично? По правилам категорирование осуществляется комиссией, назначаемой (подчеркиваю) руководителем субьекта КИИ. Идем к определению данного понятия, я не буду цитировать его из Закона, но суть такова, что это организация, которая владеет ИС, ИТС или АСУ, функционирующими в ряде сфер. Т. е. пока такой системы или сети нет, то организация не субьект, если организация еще не субьект, то как ее руководитель соберет комиссию? Приведенные Вами сроки (которых почему-то нигде нет в открытом доступе в НПА) не драконовские для уже существующих субьектов КИИ, но как быть тем, кто им может стать в ближайшее или не совсем отдаленное время?

      Удалить
    3. У вас объекты КИИ вводится уже при вступившем в силу 187-ФЗ, согласно 239 Приказа ФСТЭК - вы не имеете права вводить значимый объект КИИ в эксплуатацию до подтверждения соответствия требований по защите (выше уже процитировал). Как вы без комиссии узнаете значимый или не значимый объект у вас будет? какой категории? как вы требования к системе безопасности в ТЗ на проект заложите?

      Удалить
    4. 239 приказ ФСТЭК обязателен для значимых ОКИИ, для остальных ОКИИ его применение на усмотрение.
      Уже сейчас известно, какая информация в рассматриваемой ИС будет обрабатываться, поэтому требования к безопасности будут закладываться исходя из этого.
      Но еще раз повторюсь, пока этой системы нет, то нет и субьекта, так как субьект - это тот, кому на праве собственности, аренды и ином законном основании принадлежит или ИС, или ИТС, или АСУ, функционирующие в ряде сфер, определенных Законом.
      И еще, как мы будем категорировать, если еще нет полных исходных данных (так как неизвестно какие программные и прогоаммно-аппаратные средства будут применяться), предусмотренных ПП-127?

      Удалить
    5. А как на показатели категорий объекта КИИ в ПП127 влияют ПО и ПАК? Не понимаю как вы закладываете требования по безопасности для объекта КИИ исходя из обрабатываемой информации в ИС? У вас ИСПДн/ГИС, которая будет объектом КИИ?

      Удалить
    6. ПО и ПАК - это часть исходных данных, которые требует учитывать подпункт а, пункта 10 Правил категорирования..., утвержденных ПП-127.
      Закладываем исходя из того, что ИСПДн.
      Еще раз озвучиваю логическую цепочку: наличие ИС, ИТС, АСУ, функционирующих в одной из сфер, > статус субьекта КИИ, > принадлежащие ИС, ИТС, АСУ - обьекты КИИ, > руководитель субьекта КИИ собирает комиссию по категорированию. Основа этой цепочки 187-ФЗ и ПП-127, которым не может противоречить 239 приказ ФСТЭК. Если я где-то неправ, поправьте. А теперь из этой цепи убираем первое звено, тогда получается, что без ИС, ИТС, АСУ из определенной сферы организация не есть субьект КИИ и не может законно собрать комиссию по категорированию. Как организация, которая еще не стала субьектом КИИ будет что-либо категорировать по ПП-127 и, уже тем более, выбирать меры защиты для значимых ОКИИ?

      Я про это и спрашивал в первом своем сообщении, что сейчас в организации нет ни одной ИС, но создается ИС, которая будет в сфере, как следствие это повлечет приобретение организацией статуса субьекта КИИ со всеми вытекающими последствиями. Как в таком случае соблюдать сроки, установленные решением коллегии ФСТЭК?

      Удалить
    7. Логическая цепочка верная, но с выводом не согласен - "организация не есть субьект КИИ и не может законно собрать комиссию по категорированию". Почему "обязан"="имеет право"? Нет запрета собрать комиссию по категорированию в любой организации, но есть обязанность для субъекта КИИ ее сформировать. Вы же провели классификацию ИСПДн, которой еще нет. Сформировали требования по ее защите согласно 21 приказа ФСТЭК. Так же ничего не мешает применять 17 приказ ФСТЭК для ИС, которые не будут ГИС.

      Удалить
    8. Предложения по конкретным действиям. Формируете комиссию. Комиссия составляет акт о том, что:
      1. объекты КИИ не выявлены
      2. планируется ввод в эксплуатацию таких то ИС, предварительно эти ИС попадают под такую то категорию значимости..
      Если ИС предварительно признаны значимыми, то планируете реализацию системы безопасности по 239 приказу ФСТЭК к моменту ввода в эксплуатацию. Соответственно вы выполняете сроки коллегии ФСТЭК частично (создана комиссия и составлен план), как я писал ранее.

      Удалить
    9. Мы смогли провести классификацию ИСПДн, так как для этого требуется знать только тип актуальных угроз, категорию обрабатываемых персональных данных и количество субьектов, чьи перс данные обрабатываются. При этом никакие требования к комиссии по определению уровня защищенности не предъявляются. Собственно, как и нет требования вообще собирать комиссию по этому делу и оформлять это действо актом.
      17-го приказа ФСТЭК мы не касаемся, обязанностей или нужды в его применении нет.
      Возвращаясь к КИИ. Прямого запрета собирать комиссию по категорированию нет, но по ПП-127 указанная комиссия собирается решением руководителя субьекта КИИ. Соответственно, если организация не субьект КИИ, то как она будет исполнять документы, которые предназначены для субьектов КИИ? Ну и как выполнять решение коллегии ФСТЭК, о котором организации ни сном не духом? Обращаю внимание, что сие решение нигде не опубликовано. Поэтому, полагаю, что нужно отметить, что выполнять это решение надо, если ФСТЭК дал (письмом счастья, например) прямое указание на его исполнение. Вы же лучше меня знаете, что постулат про незнание закона, которое не освобождает от ответственности, распространяется на нормативные правовые акты, которые официально опубликованы и прошли регистрацию в Минюсте, ведь так?!

      В целом, я Вашу позицию понял, простите за легкий троллинг, так как ситуация была гипотетическая. Спасибо за ответы, мне они были полезны.

      Удалить
    10. Эти решения вообще не имеют отношения к НПА. Это просто протоколы, фиксирующие принятые решения коллегиального органа. Не будет никакой публикации или регистрации в минюсте. Их направят только конкретным адресатам, спрашивать за исполнение будут только с них и только в рамках полномочий органа, принявшего решение. Для субъекта проблема не в том, что есть решение коллегии ФСТЭК, а в том, что местная комиссия Субъекта Федерации по безопасности приняла решение на ее основе. Спрашивать будут субъекта не за невыполнение решений ФСТЭК, а за невыполнение поручений местной комиссии. И спрашивать будет не ФСТЭК. Это просто вопрос исполнительской дисциплины,а не соблюдения законодательства.

      Удалить
    11. И пробуйте построить логическую цепочку по другому: как организации узнать что она субъект КИИ? Выяснить наличие в собственности объекта КИИ. А это прямая задача из ПП127, итогом которой станет Перечень объектов КИИ. Получается, что комиссию для определения объекта КИИ создает организация до того как примет решение, что она субъект. Пока не выполнишь ПП127, не узнаешь " а должен ли ты вообще его выполнять". Такая вот коллизия законодательства у нас. Комиссию создает субъект, но о том, что он субъект -он узнает только по решению комиссии.

      Удалить
    12. Вы можете назначить ответственного или создать какую то свою комиссию, которой поручите провести идентификацию ИС как объектов КИИ. Если выявят, то создаете отдельную комиссию для выполнения ПП127. А можно просто сразу создать одну комиссию по ПП127 и не тратить время на согласования и бюрократию.

      Удалить
    13. По поводу второго сообщения из троицы выше, не согласен и вот почему, организация становится субьектом не от того, что ей принадлежат обьекты КИИ, а от того, что ей принадлежит хотя бы одна ИС, ИТС, АСУ , функционирующая в определенной сфере. А уже после этого (становления субьекта) все принадлежашие системы и сети становятся обьектами КИИ. Это же прямо из Закона вытекает, посмотрите определение, в определении обьекта КИИ нет никакой привязки к сфере функционирования, но есть привязка к принадлежности субьекту КИИ.
      Таким образом, организации достаточно найти у себя хотя бы одну систему из сферы, а потом уже комиссионно выявлять остальные системы не из сферы и решать о необходимости включения их в перечень, хотя по Закону их надо включать все.

      Удалить
    14. Не оспариваю такую трактовку, но я имел в виду другое. Кто должен найти в организации хотя бы одну из систем? Руководитель организации принимает решение об инициации поиска в организации в тот момент, когда еще не известно - а будет ли организация субъектом КИИ и должна ли она вообще выполнять 187-ФЗ.

      Удалить
    15. А сейчас как происходит? На моей скудной практике это происходило двумя способами:
      1. Неравнодушный, интересующийся сотрудник ИБ, СБ узнает о новом тренде по КИИ, докладывается руководителю, что контора, вроде как, субьект, руководитель принимает управленческое решение, что субьект, ломает голову, собирает комиссию.
      2. Приходит письмо счастья (от ФСТЭК или еще кого-то вышестоящего).
      Я что хочу сказать, что эту заветную ИС из установленной сферы ищет не комиссия, но, уверен, что это все индивидуально.

      У меня вот есть пример, что организация, в принципе, подходит под субьекта по сфере науки, но у них так слабо развита ИБ, что они не хотят сами ничего инициировать и ждут воли руководства (мол действуйте, т. е. сами они не говорят начальнику, что возможно субьект, но ждут что начальник об этом как-то узнает) или указиловки сверху (у них есть вышестоящая регулирующая организация).

      Удалить
    16. 1.активно стучатся к руководителям организации "продавцы страхом" - интеграторы и вендора.
      2. корпоративные юристы
      3. ведомственные рассылки и указания

      Удалить
  2. Добрый день. А самого решения коллегии ФСТЭК №59 у Вас нет? Сроки прописаны в ней. Как ознакомиться с исходным документом? Заранее благодарен за ответ

    ОтветитьУдалить
    Ответы
    1. Добрый вечер. В личном доступе нет. Для субъекта важнее сроки, заложенные на основании этого решения в поручения органов исполнительной власти субъекта федерации, в котором он находится. Само по себе решение коллегии ФСТЭК на субъекта не распространяется.

      Удалить
    2. То есть если нет поручения, то никто не может обязать исполнять данный документ в определенные сроки!? До тех пор пока субъекту не придет бумага о том, что необходимо выполнить определенные мероприятия в установленные сроки, от органа исполнительной власти субъекта?! И фстэк не может указывать на то, что сроки не учтены?! Получается устная отсылка к решению коллегии, да и притом, упоминания о которой находятся в протоколе из Томской области - не корректна! Тогда возникает вопрос. Если опираться на это решение, то если не успеть в срок-возможны санкции, но поручения органов исполнительной власти еще нет. Если мы не успеем в сроки выполнить мероприятия по причине несвоевременного донесения документа, будут ли на нас возлагать ответственность за это?

      Удалить
    3. В законе явно описан только 1 срок - произвести категорирование в течении года со дня утверждения списков объектов. Но о сроках формирования списков объектов ничего не сказано!

      Удалить
    4. 1. Не в законе, а в Постановлении Правительства. Перечень составляется к моменту вступления в силу ПП127. График со сроками выполнения по формальному принципу (по НПА) https://valerykomarov.blogspot.com/2018/03/blog-post_81.html

      Удалить
    5. Сроки указанные в документе Томской администрации приведены только по одной причине - документ выложен в открытый доступ. Сроки для субъекта КИИ из этого документа интересны только для одного - понимание даты, с которой начнется спрос регулятора. Просто косвенный разведпризнак. Вы можете его учитывать, а можете игнорировать. К административной ответственности за нарушение решений коллегии ФСТЭК или КИБ вас не привлекут. К дисциплинарной могут, если вы подведомственные.

      Удалить
    6. Да, постановление правительсятва... Не так написал. Спасибо. Получается в спорных моментах по срокам исполнения мы должны отталкиваться от сроков вступления того или иного документа

      Удалить
    7. Если в самом НПА не указан срок, то -да, с момента вступления в силу.

      Удалить