Регуляторы в сфере безопасности КИИ. Часть 2.

Часть 2. Принуждение к законопослушности

Начало https://valerykomarov.blogspot.com/2018/09/1.html

   Когда обсуждается обязательность исполнения 187-ФЗ, а так же ответственность  за его невыполнение и возможные действия государственных органов власти по контролю и принуждению к исполнению, то часто забывают о том, что в России форма правления  - "президентская республика". И в стране выстроена жесткая и беспощадная "вертикаль власти Президента". Рассмотрим как это влияет на жизнь субъекта КИИ.

    Справа на рисунке отображен привычный контур госрегулирования в области защиты информации на организацию, а в реальности есть еще и второй ( в левой части)

   Для понимания отразим структуры, ответственные за ИБ по линии Администрации Президента РФ (обычно они называются "совет" или "комиссия").

1. Такая структура выстроена в КАЖДОМ регионе.

2. Сотрудники ФСБ и ФСТЭК принимают активное участие в формирование повестки по ИБ данных органов.

   Смотрим на уровне Федерального округа

http://cfo.gov.ru/advisory/commission/infbez/about

      "Комиссия при полномочном представителе Президента РФ в ЦФО по информационной безопасности
    Комиссия образована распоряжением полномочного представителя от 28.06.2013г. № А50-238р.

Основными задачами Комиссии являются:

а) рассмотрение вопросов:

 реализации в округе государственной политики в области информационной безопасности;

обеспечения в округе контроля за исполнением нормативных правовых актов в области информационной безопасности;

координации деятельности уполномоченных органов исполнительной власти в области информационной безопасности субъектов Российской Федерации, находящихся в пределах округа, 
и заинтересованных территориальных органов федеральных органов исполнительной власти;

д) анализ выполнения в округе федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, федеральных целевых программ, направленных на обеспечение информационной безопасности;"

Итог: В задачи комиссии входит анализ выполнения 187-ФЗ, контроль за выполнением 187-ФЗ, обеспечение обязательности выполнения 187-ФЗ.

  Может это не всех касается на территории федерального округа?

"ПОЛОЖЕНИЕ
о Комиссии при полномочном представителе
Президента Российской Федерации в Центральном федеральном
округе по информационной безопасности

   Комиссия для решения возложенных на нее задач имеет
право:
взаимодействовать в установленном порядке с федеральными
органами исполнительной власти, органами исполнительной власти
субъектов Российской Федерации, органами местного
самоуправления, а также с организациями и должностными лицами
по вопросам, входящим в ее компетенцию;
запрашивать и получать в установленном порядке необходимые
материалы и информацию от федеральных органов исполнительной
власти, органов исполнительной власти субъектов Российской
Федерации, органов местного самоуправления, а также
от организаций и должностных лиц;".

Итог:  касается всех - ФОИВ, ОИВ регионов, муниципалов, организаций.
   Но с организациями обычно взаимодействуют нижележащие структуры - советы/комиссии по ИБ в ОИВ региона.
   Ранее( https://valerykomarov.blogspot.com/2018/07/187.html )уже обсуждал протокол решения Совета по защите информации Томской области, размещенный в открытом доступе Интернет
https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf

     Показательны в нем два момента:

1. Прямо указаны не только государственные органы и учреждения, но и юрлица и ИП.

2. Осуществление контроля за выполнением 187-ФЗ

     А теперь рассмотрим вариант действий ФСТЭК и ФСБ, направленных на контроль и принудительное выполнение 187-ФЗ организациями в стране (Данный вариант отражает мои личные умозаключения, основанные исключительно на публично озвученной информации и документах, размещенных в открытом доступе.)

 
    У регуляторов есть проблема: не наделили их полномочиями в рамках 187-ФЗ. https://valerykomarov.blogspot.com/2018/05/blog-post_22.html
    Но закон вступил в силу и необходимо обеспечить его выполнение. Как им быть? С них ведь то же спрашивают. Особенно на Совете безопасности РФ.
    Этап 1. И ФСТЭК подготавливает решение Советов/комиссий , основанное на внутреннем документе самого ФСТЭК - решение коллегии ФСТЭК № 59 от 24.04.2018. Оформляется Протокол заседания Совета и  направляется по организациям, перечень которых так же готовится при участии ФСТЭК.
     Причем сроки этапов выполнения 187-ФЗ чаще всего ужесточаются, потому что региональным комиссиям необходимо всю информацию собрать, обобщить и отчитаться перед федеральными округами. + "ефрейторский запас".
     Правда для Томской области прописан рекомендательный характер таких решений:

РАСПОРЯЖЕНИЕ от 22 апреля 2004 года № 272-р
«О создании Совета по защите информации Томской области»

Решения Совета утверждаются Главой Администрации (Губернатором) области и в 7-дневный срок после заседания рассылаются членам Совета и доводятся до исполнителей и других заинтересованных организаций в части, их касающейся.
Решения Совета носят рекомендательный характер. В случае необходимости на их основе могут быть подготовлены правовые акты Главы Администрации (Губернатора) области, Администрации Томской области.

    Результат первого этапа - ФСТЭК получил первичную информацию от субъектов КИИ (не все организации проигнорируют поручения от губернатора региона), создал фон для легализации второго этапа.
   Этап 2. На очередном заседании Совета/комиссии федерального округа фиксируется в протоколе низкая дисциплинированность субъектов КИИ, большое количество ошибок в присланных документах и т.д. В протокол вносится решение о проведение внеплановых проверок организаций по списку, подготовленного ФСТЭК/ФСБ.
    Результат второго этапа - ФСТЭК/ФСБ получили основания для выездной проверки реализации 187-ФЗ в организациях.
     Этап 3. ФСТЭК/ФСБ приходит в организации по списку и выявляет объекты КИИ. Составляет протоколы для Совета/комиссии и оформляет предписание на выполнение требований 187-ФЗ (составление Перечня, категорирование и т.д.).
     Результат третьего этапа - возможность привлекать организации за невыполнение предписаний по ст.19.5 КоАП
"Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль"

   Итог: если судить по Томскому протоколу, то сейчас реализуется первый этап. У такого варианта событий есть большой недостаток - долгие бюрократические процедуры. Но ФСТЭК озвучивал планы по скорому изменению КоАП для субъектов КИИ, да и есть у ФСТЭК/ФСБ и другие основания для проверок организаций, с попутным выявлением объектов КИИ (надзор за лицензиатами, плановые проверки, расследование уголовных дел и т.д.). К тому же, штатные подразделения по КИИ только созданы у регуляторов, необходимо организовать их работу.
   Думаю, что в следующем году субъектами КИИ очень плотно займутся. Сразу всех не охватят, но статистика в презентациях ФСТЭК серьезно улучшится.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite