четверг, 27 сентября 2018 г.

Регуляторы в сфере безопасности КИИ. Часть 2.


Часть 2. Принуждение к законопослушности

   Когда обсуждается обязательность исполнения 187-ФЗ, а так же ответственность  за его невыполнение и возможные действия государственных органов власти по контролю и принуждению к исполнению, то часто забывают о том, что в России форма правления  - "президентская республика". И в стране выстроена жесткая и беспощадная "вертикаль власти Президента". Рассмотрим как это влияет на жизнь субъекта КИИ.


    Справа на рисунке отображен привычный контур госрегулирования в области защиты информации на организацию, а в реальности есть еще и второй ( в левой части)

   Для понимания отразим структуры, ответственные за ИБ по линии Администрации Президента РФ (обычно они называются "совет" или "комиссия").
1. Такая структура выстроена в КАЖДОМ регионе.
2. Сотрудники ФСБ и ФСТЭК принимают активное участие в формирование повестки по ИБ данных органов.

   Смотрим на уровне Федерального округа
http://cfo.gov.ru/advisory/commission/infbez/about

      "Комиссия при полномочном представителе Президента РФ в ЦФО по информационной безопасности
    Комиссия образована распоряжением полномочного представителя от 28.06.2013г. № А50-238р.

Основными задачами Комиссии являются:

а) рассмотрение вопросов:

 реализации в округе государственной политики в области информационной безопасности;

обеспечения в округе контроля за исполнением нормативных правовых актов в области информационной безопасности;

координации деятельности уполномоченных органов исполнительной власти в области информационной безопасности субъектов Российской Федерации, находящихся в пределах округа, 
и заинтересованных территориальных органов федеральных органов исполнительной власти;

д) анализ выполнения в округе федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, федеральных целевых программ, направленных на обеспечение информационной безопасности;"

Итог: В задачи комиссии входит анализ выполнения 187-ФЗ, контроль за выполнением 187-ФЗ, обеспечение обязательности выполнения 187-ФЗ.

  Может это не всех касается на территории федерального округа?

"ПОЛОЖЕНИЕ
о Комиссии при полномочном представителе
Президента Российской Федерации в Центральном федеральном
округе по информационной безопасности

   Комиссия для решения возложенных на нее задач имеет
право:
взаимодействовать в установленном порядке с федеральными
органами исполнительной власти, органами исполнительной власти
субъектов Российской Федерации, органами местного
самоуправления, а также с организациями и должностными лицами
по вопросам, входящим в ее компетенцию;
запрашивать и получать в установленном порядке необходимые
материалы и информацию от федеральных органов исполнительной
власти, органов исполнительной власти субъектов Российской
Федерации, органов местного самоуправления, а также
от организаций и должностных лиц;".

Итог:  касается всех - ФОИВ, ОИВ регионов, муниципалов, организаций.
   Но с организациями обычно взаимодействуют нижележащие структуры - советы/комиссии по ИБ в ОИВ региона.
   Ранее( https://valerykomarov.blogspot.com/2018/07/187.html )уже обсуждал протокол решения Совета по защите информации Томской области, размещенный в открытом доступе Интернет
https://dpk.tomsk.gov.ru/uploads/ckfinder/295/userfiles/files/doc00411120180608085142.pdf

     Показательны в нем два момента:

1. Прямо указаны не только государственные органы и учреждения, но и юрлица и ИП.


2. Осуществление контроля за выполнением 187-ФЗ
     А теперь рассмотрим вариант действий ФСТЭК и ФСБ, направленных на контроль и принудительное выполнение 187-ФЗ организациями в стране (Данный вариант отражает мои личные умозаключения, основанные исключительно на публично озвученной информации и документах, размещенных в открытом доступе.)
 
    У регуляторов есть проблема: не наделили их полномочиями в рамках 187-ФЗ. https://valerykomarov.blogspot.com/2018/05/blog-post_22.html
    Но закон вступил в силу и необходимо обеспечить его выполнение. Как им быть? С них ведь то же спрашивают. Особенно на Совете безопасности РФ.
    Этап 1. И ФСТЭК подготавливает решение Советов/комиссий , основанное на внутреннем документе самого ФСТЭК - решение коллегии ФСТЭК № 59 от 24.04.2018. Оформляется Протокол заседания Совета и  направляется по организациям, перечень которых так же готовится при участии ФСТЭК.
     Причем сроки этапов выполнения 187-ФЗ чаще всего ужесточаются, потому что региональным комиссиям необходимо всю информацию собрать, обобщить и отчитаться перед федеральными округами. + "ефрейторский запас".
     Правда для Томской области прописан рекомендательный характер таких решений:

РАСПОРЯЖЕНИЕ от 22 апреля 2004 года № 272-р
«О создании Совета по защите информации Томской области»

Решения Совета утверждаются Главой Администрации (Губернатором) области и в 7-дневный срок после заседания рассылаются членам Совета и доводятся до исполнителей и других заинтересованных организаций в части, их касающейся.
Решения Совета носят рекомендательный характер. В случае необходимости на их основе могут быть подготовлены правовые акты Главы Администрации (Губернатора) области, Администрации Томской области.

    Результат первого этапа - ФСТЭК получил первичную информацию от субъектов КИИ (не все организации проигнорируют поручения от губернатора региона), создал фон для легализации второго этапа.
   Этап 2. На очередном заседании Совета/комиссии федерального округа фиксируется в протоколе низкая дисциплинированность субъектов КИИ, большое количество ошибок в присланных документах и т.д. В протокол вносится решение о проведение внеплановых проверок организаций по списку, подготовленного ФСТЭК/ФСБ.
    Результат второго этапа - ФСТЭК/ФСБ получили основания для выездной проверки реализации 187-ФЗ в организациях.
     Этап 3. ФСТЭК/ФСБ приходит в организации по списку и выявляет объекты КИИ. Составляет протоколы для Совета/комиссии и оформляет предписание на выполнение требований 187-ФЗ (составление Перечня, категорирование и т.д.).
     Результат третьего этапа - возможность привлекать организации за невыполнение предписаний по ст.19.5 КоАП
"Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль"

   Итог: если судить по Томскому протоколу, то сейчас реализуется первый этап. У такого варианта событий есть большой недостаток - долгие бюрократические процедуры. Но ФСТЭК озвучивал планы по скорому изменению КоАП для субъектов КИИ, да и есть у ФСТЭК/ФСБ и другие основания для проверок организаций, с попутным выявлением объектов КИИ (надзор за лицензиатами, плановые проверки, расследование уголовных дел и т.д.). К тому же, штатные подразделения по КИИ только созданы у регуляторов, необходимо организовать их работу.
   Думаю, что в следующем году субъектами КИИ очень плотно займутся. Сразу всех не охватят, но статистика в презентациях ФСТЭК серьезно улучшится.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

6 комментариев:

  1. Мне кажется, что все же надо как-то отметить тот случай, когда полномочный представитель Президента не взаимодействует с субьектами КИИ, и когда аналогичным образом поступает ФСТЭК и его территориальные управления. Я говорю о той ситуации, когда решение коллегии ФСТЭК № 59 не напрпвлялось субьекту, когда ППП никак не взаимодействует с субьектом.
    Субьект КИИ обязан выполнять нормативные правовые акты, которые официально опубликованы, но он не обязан трясти обозначенные выше структуры, чтобы те ему как-то дополнительно установили сроки.

    Вот у меня есть пример нескольких субьектов КИИ, которые добросовестно сейчас выполняют все требования законодательства с сфере КИИ, но ФСТЭК им не высылал никаких писем счастья или упомянутого выше решения коллегии, полномочный представитель Президента аналогично никак на связь не выходил. Какие сроки у этих субьектов?

    ОтветитьУдалить
  2. Важны не сроки, а возможность "зайти" в любую организацию.
    Если организация не входит в адресаты рассылки, то она ничего и не получит. Сроки у них, установленные федеральным законодательством. Самой организации конечно нет никакого резона "трясти структуры", моя заметка о другом.

    ОтветитьУдалить
    Ответы
    1. У вас не совсем полная региональная структура. Более детально и подробно она представлена в основах организации защиты в таком то федеральном округе. Там же подробно расписаны и полномочия на каждом из уровней-федеральном, окружном, региональном, обьектовом...

      Удалить
    2. Да, вы правы. Заметка писалась как ознакомительная.

      Удалить
  3. Ещё раз о сроках. На недавно прошедшем Методическом сборе с представителями субъектов КИИ, который состоялся 25 октября 2018 г. в ЦА ФСТЭК России, Лютиков однозначно сказал, что, во-первых, сроков из решения коллегии ФСТЭК № 59 придерживаются только те, кому оно пришло тем или иным официальным образом, а, во-вторых, это решение носит рекомендательный характер.

    ОтветитьУдалить
    Ответы
    1. Да, так и есть. Только субъектам КИИ пришли протоколы и поручения КИБ различного уровня, с указанием сроков из 59 решения коллегии, а не само решение. ФсСТЭК то рекомендовала, а вот коллегиальные органы в администрациях приняли их сведению и поставили под контроль.

      Удалить