вторник, 16 октября 2018 г.

Подсказки по выполнению 187-ФЗ. Начало.


       Время, отведенное организациям на выполнение требований 187-ФЗ истекает, решил сделать цикл заметок в помощь потенциальным субъектам КИИ.

      Важно: Данные материалы отражают мою личную позицию и требуют обязательного критического отношения при их рассмотрении. Любое конструктивное обсуждение, предложения и замечания строго приветствуются.

       Часть.1 Самоидентификация.

      Как уже не раз отмечалось ранее, в 187-ФЗ термины "объект КИИ" и "субъект КИИ", определены так, что практически все организации в стране вынуждены предпринимать действия по принятию решения о наличии/отсутствии у себя на законных основаниях объектов КИИ.
       Рассмотрим алгоритм действия организации:
     


     Желтым выделены документы, для которых предлагаются к обсуждению следующие шаблоны:

1. Приказ

2. Положение о комиссии

   
   





     Приказ о создании комиссии и утверждении положения оформляется в соответствии с правилами документооборота в организации. Положение о комиссии универсальное и может применяться субъектами КИИ. 

3. Заключение комиссии об отсутствии объектов КИИ





      Все предложенные проекты документов необходимо актуализировать под реалии конкретной организации.

Подборка шпаргалок для субъектов КИИ размещена здесь https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

27 комментариев:

  1. Пожалуй, комиссия по категорированию начинает действовать, когда организация уже определилась с тем, субьект она или нет. Т.е. решение о том, что субьект или нет, принимает руководитель организации, очень похоже, единолично или на совещании верхушки. И вот, мне кажется, протокол этого совещания или единоличный приказ руководителя организации будет документом, отражающим принятие или нет статуса субьекта КИИ,и будет служить основанием для сбора комиссии по категорированию.
    Положение о Комиссии вещь, конечно, хорошая, но не является ли избыточным, если действия комиссии описываются в ПП-127, и даже у Вас это Положение является копи-пастом (не полным, разумеется, но все же) из названного ПП?

    ОтветитьУдалить
    Ответы
    1. Слабо верится, что кто то из руководителей организации возьмет на себя персональную ответственность за принятие решения "субъект или не субъект" и оформит ее в виде документа. Да и неофициальное решение он будет принимать после получения исходной информации о реальной обстановке. Да - для этого комиссия не нужна, может любой сотрудник провести по устному поручению директора.

      Удалить
    2. По поводу избыточности создания комиссии и копипаста ПП127. Эта избыточность присутствует в случаях, если организация не субъект КИИ. Но она служит для снижения риска руководителя организации, при запросах или иных действиях регуляторов. Копипаст ПП127 заложен целенаправленно, для невозможности опротестовать регулятору решение комиссии по формальному признаку.

      Удалить
    3. Так имеет право регулятор спрашивать субъект организация или не субъект КИИ? Хорошо, спросить, наверно, может, а повлиять на ответ может? Скорее всего нет, что-то я не помню такого в 187-ФЗ.
      Субъект или не субьект КИИ определяет сама организация (или, возможно, суд), поэтому какой смысл регулятору этим интересоваться, если он на это не может повлиять? Другой вопрос в том, что с регулятором лучше не ссорится, но мы же рассматриваем правововую ситуацию, а не где все по понятиям.

      Я говорил об избыточности по отношению к Положению о комиссии. Создание комиссии не считаю избыточным (даже какую-либо бумажку о том, что субъект или не субъект), а вот положение о ней, которое копирует ПП-127 - да.

      Удалить
    4. Положение о комиссии в организации обязательно должно быть! О любой комиссии, в том числе и об этой. Чего-то другого, отличного от того, что предлагает Валерий, придумать трудно, да и не нужно: глупая работа требует глупого подхода. Другое дело, что создание комиссий – это один из способов размывания ответственности. Они хороши тогда, когда нужно завалить дело. Дело не сделано, а наказать некого. Комиссия!

      Удалить
    5. Скажем так, коллеги, у меня основная претензия к предложенному Положению в том, что там много заимствований из ПП-127.
      Кстати, а есть документик, который предписывает наличие такого положения?

      Мне доводилось готовить правовые акты в одном территориальном подразделении кое какого ФОИВ. И вот мне приходилось от юристов, проводивших правовую экспертизу, выслушивать в свой адрес тирады, мол какой я юридически неграмотный, что слово в слово переношу определения, нормы, прописанные в нормативных правовых актах, имеющих большую юридическую силу или на которые я так или иначе ссылаюсь.

      Удалить
    6. Аргумент про мнение юристов - слабый. Сколько юристов, столько и мнений. Да, возможна ситуация, когда юрист не пропустит на согласовании положение с прямым цитированием, тогда придется описывать своими словами. И прошу заметить, что цитирую я соответствующий раздел Правил категорирования, утвержденные ПП127.
      И положение о комиссии создается для того, что бы упорядочить работу членов комиссии.Это просто "правила работы комиссии". Можете попробовать работать "по понятиям", без положения и четко установленных правил.

      Удалить
    7. Посмотрите, пожалуйста, мой самый первый комментарий. Я не призываю работать "по понятиям", я лишь вопрошаю, мол не будет ли Положение избыточным, если деятельность Комиссии по категорированию описана в ПП-127 (или эти Правила категорирования недостаточно четко установлены?) ;)

      Удалить
    8. Алексей, это зависит от формулировок приказа на создание комиссии. Если в самом приказе будет прописано, что комиссии выполнять свою работу в соответствии с правилами категорирования, утвержденных пп127, то повторное цитирование в самом положении будет избыточно.

      Удалить
  2. Спасибо, отличные примеры.
    Я бы подумал над тем, чтобы в положении о комиссии перечислить все возможные результаты комиссии - их не так много.

    Алексей: Когда создается комиссия по категорированию, сотрудники из разных подразделений будут отвлечены от своих основных обязанностей и должны будут в течении года (который выделен на категорирование) периодически встречаться, совещаться и принимать коллегиальные решения. Если заранее не описать правила, по которым они должны работать, то потом выйдет ерунда ...

    ОтветитьУдалить
    Ответы
    1. Распишите сроки в приказе о комиссии, что, мол, создать комиссию по категорированию, следующими пунктами поручаем комиссии провести инвентаризацию до такого числа, ответственный такой-то, подготовить Перечень до такого числа, ответственный такой-то, и т.д. Приказ берется на контроль в подразделении делопроизводства и секретарь будет мучать членов комиссии о сроках выполнения, и им никуда не деться, надо выполняться, собираться .

      Ну и есть такие субьекты, где члены комиссии не отвлекутся на год, так как или обьектов мало, или возьмут аутсорс.

      Я вообще считаю, что это все индивидуально. Валерий высказал свое мнение, я свое, Вы свое, и все они верные (ну мне так кажется).

      Удалить
    2. Комиссия должна быть постоянно действующей. ИТ-ландшафт динамичен. В таком случае, лучше прописывать, что отчет о выполнении пунктов таких то приказа ежеквартально или другой период.

      Удалить
    3. Сергей, в положении о комиссии три варианта и прописаны: акт об отнесении объекта к КИИ, акт категорирования и заключение о не кии.

      Удалить
    4. Вроде как, несовсем так, ведь, если чисто формально, не комиссия по категорированию следит за тем, а нет ли оснований для пересмотра установленной ранее категории, а субъект КИИ. Понятное дело, что субъект КИИ в лице руководителя это кому-то делегирует.
      Ну и опять же, если бы комиссия была постоянно действующей, то почему законодатель не поступил так, как с ПДТК, когда словоа "Постоянно действующая" уже вложены в название?
      Мне все же кажется, что эта комиссия не постоянно действующая, а периодически созываемая, а то так мы дойдём до того, что некоторым субъектам придётся создавать штатное подразделение по категорированию объектов КИИ.
      Ну и надо понимать, что не все субъекты КИИ одинаково равны. Где-то столько ИС, что на пальцах одной руки умещаются, а некоторые, согласен, могут быть более объемными.

      Удалить
    5. В 187-ФЗ и ПП127 предусмотрены плановые сроки пересмотра пересмотра и указаны основания для внеплановых пересмотров. Это, если даже не брать появление новых ИС у субъекта. Зачем плодить приказы о создании комиссий в организации? Создали один раз и все, пока оргштатные изменения не пройдут. В положение о комиссии четко прописано, что собирается она по необходимости.
      "3.1. Заседания Комиссии проводятся по мере необходимости.
      3.2. Решение о проведении заседания Комиссии принимается Председателем Комиссии по предложению, внесенному секретарем Комиссии,
      в том числе на основании предложений членов Комиссии."

      Удалить
    6. "В 187-ФЗ и ПП127 предусмотрены плановые сроки пересмотра пересмотра и указаны основания для внеплановых пересмотров."

      Сколько смотрел, так и не смог найти указаний для периодичности пересмотра. Основные сроки указаны для плановых проверок регуляторов (3 года) и пересмотр категории (5 лет). Но это все для значимых\не значимых объектов.
      А вот для организаций которые не являются субъектами, никаких обязанностей для сбора комиссии и ежегодного пересмотра своих объектов на предмет выявления новых, попадающий по 13 областей ФЗ-187, нет.

      Вся ситуация напоминает "анекдот", когда безногий инвалид должен был раз в 5 лет подтверждать свою инвалидности для получения льгот. Можно подумать что за 5 лет у него нога бы выросла.

      Я к тому, что делать этот пересмотр, многим организациям не к чему. КИИ у них нет, не будет и неоткуда взяться. Ну например, организация которая занимается бух учетом. Какой смысл ей каждый год писать бумагу что у них за прошедший год не появилось объекта КИИ?

      Удалить
    7. Организация при каждом изменёнии своего реестра ИС обязана проверять, иначе она просто не узнает, что стала субъектом КИИ и ей теперь необходимо выполнять 187-фз.

      Удалить
  3. Валерий, а почему в одном случае "Организация функционирует в 13 сферах КИИ", а в другом "Есть ИС/АСУ/ИТКС функционирующие в 13 сферах КИИ"?

    ОтветитьУдалить
    Ответы
    1. Итоговый вывод должен быть именно про ИС/АСУ/ИТКС функционирующие в 13 сферах КИИ. А это возможно как при наличии ИС/АСУ/ИТКС, обеспечивающих основную деятельность самой организации - организация функционирует в 13 сферах, так и при наличии на балансе ИС/АСУ/ИТКС, которыми пользуются другие организации. Таким алгоритмом пытаюсь упростить жизнь организации, больно уж термины и определения криво заданы в законодательстве. сферы деятельности организаций намного проще определять, чем сферы функционирования ИС/АСУ/ИТКС. + это совпадает с рекомендациями ФСТЭК по выполнению ПП127, меньше проблем при проверке.

      Удалить
  4. Не совсем так. Не итоговый вывод, а вся деятельность по выполнению 187-ФЗ должна с этого начинаться. И начинать её должен руководитель подразделения (ответственный за) кибербезопасность предприятия. Именно в его обязанности входит отслеживание законодательства в этой сфере. Он должен написать служебную (докладную) записку директору (или курирующему заму) с: а) обоснованием необходимости создания комиссии (при наличии ИС/АСУ/ИТКС, «функционирующих в сфере») или б) докладом об отсутствии необходимости создания комиссии, вследствие отсутствия на предприятии ИС/АСУ/ИТКС, «функционирующих в сфере».
    ФСТЭК не должна была (и не имела права) давать такие рекомендации, но была обязана (по 187-ФЗ) выступить с предложениями по корректировке «кривых» определений. А так, действительно получается, что федеральный орган исполнительной власти осуществляет руководство не по закону, а по понятиям. Чтобы этого не было, необходимо приводить закон в соответствие с логикой и нормами государственного языка.

    ОтветитьУдалить
    Ответы
    1. Уже настолько кривая схема заложена, что никакие корректировки не помогут. Изменения будут вносится конечно, но иллюзий я бы не испытывал. ПП127 - это подзаконный акт, описывающий КАК субъекту определять категорию значимости уже выявленного объекта КИИ. (смотрим 187-ФЗ "Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры." и " 2. Правительство Российской Федерации устанавливает:
      1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования".
      А ФСТЭК половину процесса категорирования посвятил описанию действий организации по ВЫЯВЛЕНИЮ объектов КИИ. В существующей связке ФЗ-ПП, телега впереди лошади оказалась. Организация должна выполнить подзаконный акт, что бы понять необходимость выполнения самого закона.

      Удалить
    2. Да, ситуация более, чем странная. Но самое печальное - из неё, похоже, нет выхода?

      Удалить
  5. Теперь у ФСТЭК есть аргумент, что процесс, описанный в ПП127 рабочий и реализуемый на практике - внесены записи в реестр значимых объектов.Нет оснований искать выход, все хорошо и так.

    ОтветитьУдалить
  6. Площадка с шпаргалками для субъектов КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579a

    ОтветитьУдалить
  7. Как тогда понимать это?

    https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2076-informatsionnoe-soobshchenie-fstek-rossii-ot-17-aprelya-2020-g-n-240-84-612

    Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.

    ОтветитьУдалить
    Ответы
    1. Буквально понимать. 187-ФЗ и подзаконные акты требуется выполнять исключительно субъектам КИИ. Нет объектов КИИ - нет субъекта КИИ. Не надо ничего направлять в ФСТЭК

      Удалить