среда, 9 января 2019 г.

Проект обновления ПП127 от ФСТЭК


     Опубликован для публичного обсуждения проект Постановления Правительства по внесению изменений в ПП 127. Что же ФСТЭК предложила исправить по результатам применения действующей редакции?  Может решены проблемы, которые озвучивались в начале прошлого года?

    На первый взгляд документ изменился значительно:

Правила категорирования объектов КИИ:
1.    Если объект КИИ по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям можно не производить.
2.    Категорирование объектов КИИ, в составе которых используются программные и/или аппаратные средства, производится на основании данных о последствиях нарушения или прекращения функционирования таких программных и\или аппаратных средств.
3. Комисии теперь постоянно действующие.
4.    В состав комиссии по категорированию могут быть включены иные работники, в том числе, работники финансово-экономических подразделений.
5.    В субъекте КИИ, имеющем филиалы, могут создаваться отдельные комиссии по категорированию в филиалах.
6.    Определены случаи, в которых комиссия по категорированию подлежит расформированию.
7.    В процессе своей работы комиссия по категорированию должна:
-рассчитать значение каждого из показателей критериев значимости или обосновать их неприменимость;
-рассматривать наихудшие сценарии проведения целенаправленных атак, наносящих максимально возможный ущерб
-учитывать зависимости объектов и критических процессов и оценивать совокупный масштаб последствий от нарушения всех взаимозависимых критических процессов.
8.    Субъекты КИИ должны до 1 июня 2019 г. утвердить перечни действующих объектов КИИ.
9.    В перечень объектов КИИ могут также включаться объекты филиалов субъекта КИИ.
10.    Максимальный срок категорирования сокращен с одного года до шести месяцев со дня утверждения перечня объектов КИИ.
11.  Сокращен состав информации, отражаемой в акте по результатам категорирования, оставлены только ведения.
12.  Расширен состав сведений, передаваемых субъектом КИИ в ФСТЭК по результатам категорирования:
- значения каждого из показателей критериев значимости с обоснованием этих значений;
-или информация о неприменимости показателей к объекту КИИ с обоснованием данного вывода.
13.  Определены сроки направления в ФСТЭК информации по вновь создаваемым объектам КИИ.

 Перечень показателей критериев значимости объектов КИИ:
1.    В показателях, характеризующих территорию,
рассматриваются только муниципальные образования численностью от 2 тыс. человек;
для III категории, соответственно, до 2 тыс. человек уменьшено нижнее значение таких показателей.
2.    Для нарушений функционирования сетей связи:
-исключен показатель, характеризующий территорию;
- для III категории до 3 тыс. человек уменьшено нижнее значение показателя, характеризующего количество абонентов, которым могут быть недоступны услуги связи.
3.    В показателе снижения уровня дохода субъектов КИИ:
-при расчете используется усредненный за предыдущие 5 лет годовой доход (вместо прогнозируемого);
-расширен диапазон значений показателей по категориям.
4.    Показатель ущерба бюджетам РФ рассчитывается в виде процента от усредненного за предыдущие 5 лет объема выплат субъекта КИИ в соответствующий бюджет (федеральный или бюджет субъекта РФ).
5.    Добавлены ряд примечаний, поясняющих отдельные положения формулировок показателей.


    Разбор начну с показателей категорий значимости:
     1. В 25 РАЗ! снизили порог попадания в ЗОКИИ для транспортной сферы!!! В 17 РАЗ! для связной сферы. Аналогично снижен для ОПО в любой сфере, влияющей на окружающую среду.
     2. При этом не указан период недоступности транспортной или связной функции для населения. 
"1) Полное прекращение выполнения критического процесса в течение периода времени, превышающего допустимое время невыполнения этого процесса, при котором наступает ущерб (определяемое в том числе с учетом условий договора оказания услуг между абонентом и субъектом критической информационной инфраструктуры).
2) Отклонение значений параметров критического процесса от проектных (штатных) режимов функционирования в течение периода времени, превышающего допустимое время отклонения значений параметров процесса от проектных (штатных) режимов функционирования, при котором наступает ущерб (определяемое в том числе с учетом условий договора оказания услуг между абонентом и субъектом критической информационной инфраструктуры).". Ущерб кому? Субъекту или абоненту (не знаю кто такой абонент в договорах на перевозку, видимо пассажир)? Как быть с пассажирскими пригородными и городскими перевозками, где никаких компенсаций не предусмотрено для пассажиров при задержках и отмене рейсов? Зачем разделять на подпункты, если ключевым является нанесение ущерба, и без разницы от полного прекращения или от отклонения значений параметров?
Как считать то? Фактически, все объекты КИИ в сфере транспорта и связи можно отнести к значимым при таких показателях.
      3. Опять банальные ошибки в показателях. В пункте 5 и пункте 14. Оставили неоднозначность отнесения к определенной категории для показателя 6 и  1 соответственно. 
      4. Изменение показателей это просто "подарок" для субъектов, отыгравших конкурсы на работы по категорированию. Деньги заплатили, а теперь по новому контракты играть. Спасибо ФСТЭК за заботу о бюджетах субъектов КИИ. 
      5. А что делать субъектам, которые уже получили подтверждение от ФСТЭК о том, что ОКИИ не значимые по старым показателям? Ведь в 187-ФЗ " 12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях" ничего не сказано про решение об отсутствии необходимости присвоения категории ОКИИ. В проекте ПП127 то же ничего не указано. "20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.".
     Весело получается. Формально можно вообще никогда не пересматривать, если сразу категорию не присвоил. Эти ОКИИ, которые вроде есть, но вроде никому и не нужны, будут еще долго аукаться регуляторам. По ним даже госконтроль не предусмотрен. Может это хитрый ход ФСТЭК по мотивации субъектов быстренько категорироваться по старым показателям? 


    Теперь про правила категорирования
    Смотрим первоисточник - 187-ФЗ.
Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры
2. Правительство Российской Федерации устанавливает:
1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
2) порядок осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
3) порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.

     Статья 7. Категорирование объектов критической информационной инфраструктуры
1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
 
    Смотрим проект ПП127
   6.   "3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности." Зачем это? Есть ст.7 в 187-ФЗ, причем здесь уточнения в ПП127? Это не входит в область действия ПП127. Видимо очень хочется привязать к сферам деятельности не объекты, а субъекты. Об этом же однозначно говорит и появление нового пункта "11.3. Комиссия по категорированию подлежит расформированию 
в следующих случаях: а) субъект критической информационной инфраструктуры прекратил выполнение функций (полномочий) или осуществление видов деятельности 
в областях (сферах), указанных в пункте 3 настоящих Правил;".
   7. "в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых объектов критической информационной инфраструктуры;" Это что за самодеятельность субъекта такая прописана? В 187-ФЗ написано однозначно, что "если ОКИИ, то категорируется". Что значит необходимость категорирования ОКИИ? Мало того, что это не входит  в область действия самого ПП127, указанную в 187-ФЗ. Так ведь ст.7 187-ФЗ никаких прав определять необходимость категорирования вообще никому не делегировал.
  8. Зачем потребовалось превращать комиссию по категорированию в постоянно действующую? В чем целесообразность? ФСТЭК не понимает, что это приведет к необходимости перевыпуска распорядительных документов (приказов, распоряжений и т.д.) у субъектов КИИ? Теперь переделывать все положения о комиссиях, по новому утверждать. Мало субъекту проблем, добавим еще. А потом накажем за невыполнение сроков. Красота.
   9. Почему не добавили в приложение форму Перечня объектов, подлежащих категорированию и необходимость дублирования формы в электронном виде? Надеются обойтись информационным сообщением на сайте ФСТЭК?
    10. Что такое действующие объекты? "Перечень действующих объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г.". Это объекты введенные в эксплуатацию? В промышленную или опытную? Вот ниже понятно написано для вновь вводимых объектов "Сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение)."
     11. "По мере необходимости указанный перечень может быть дополнен или изменен. " А где описание процедуры изменения Перечня? Субъект только у себя меняет или ФСТЭК то же информирует? Если информирует, то в каком формате и в какие сроки?
     12. "При проведении работ, предусмотренных подпунктами «г» и «д» настоящего пункта, рассматриваются наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых является прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.". Это не результат КА,а цель КА. Неграмотно написано, не по русски.
     И самое главное, а зачем все это? Ведь для присвоения категории достаточно "прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба".
     13. случае, если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры субъекта критической информационной инфраструктуры, оценка возможных последствий, предусмотренная подпунктом «е» настоящего пункта, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.". Все наоборот должно быть. Если от объекта А зависит объект Б, то при оценке ущерба от КА на объект А, должен учитываться ущерб и от прекращения работы объекта Б.
    14.  "В случае, если критический процесс зависит от иных критических процессов субъекта критической информационной инфраструктуры, предусмотренных подпунктом «е» настоящего пункта, оценка проводится по совокупному масштабу возможных последствий от нарушения или прекращения функционирования всех взаимозависимых критических процессов". А ничего, что оцениваются объекты, а вовсе не процессы.

    Мои личные предложения изменений к действующей версии ПП127:
1. Убираем этап составления Перечня объектов, подлежащих категорированию. Этот Перечень должен составляться до начала работы комиссии по категорированию - просто для понимания необходимости выполнять 187-ФЗ и ПП127 (самоидентификация субъекта КИИ). Никакой необходимости направлять этот Перечень в ведомственные центры на согласование (все равно никто не хочет на практике брать на себя ответственность) и в ФСТЭК нет. В 187-ФЗ такого требования нет, из ПП127 убирается без проблем.
2. Убираем этап с оформлением акта категорирования объекта КИИ. Комиссия сразу подписывает форму уведомления о результатах категорирования (приказ №236 ФСТЭК). Сведения об объекте КИИ одни и те же указываются, зачем плодить бумаги и усложнять работу комиссии по категорированию. В 187-ФЗ такого требования нет, из ПП127 убирается без проблем.
3. Сроки категорирования убираем. Живут как то ИСПДн и ГИС без таких сроков в нормативных документах. Оставить только сроки на отправку и рассмотрение в ФСТЭК форм уведомления о результатах категорирования. А так же прописать механизм апелляции субъекта КИИ к замечаниям ФСТЭК. Для упорядочения  бюрократического процесса.
4. Оценку угроз и уязвимостей убираем. Все равно таких слов никто в комиссии не понимает и на результаты оценки применимости показателей категорий значимости к объектам КИИ это никак не влияет. В 187-ФЗ такого требования нет, из ПП127 убирается без проблем.

    Это сильно упрощает работу специалистов ИБ на местах, существенно ускоряет процесс выполнения требований 187-ФЗ субъектами КИИ и никаким образом не влияет на качество и результаты этапа категорирования.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

11 комментариев:

  1. У ИСПДн сроки есть, точнее у операторов ПДн есть сроки подачи уведомления о включении в соответствующий реестр. Учитывая, что КИИ подразумевает некую важность, то сроки нужны.

    Тем не менее, в тексте предложенного проекта нет слов, что надо будет категорировать по новому тем, кто уже это сделал, поэтому, кмк, сейчас у субъектов появился стимул сделать все быстрее по старому, ну или подождать новых показателей. А так если принуждать пересматривать категорию от внесения изменений в ПП-127, то так можно каждый год вносить в него изменения, пока все СКИИ не обзаведутся ЗОКИИ.

    ОтветитьУдалить
  2. 1.Реестр предусмотрен только для значимых обьектов КИИ. Сроки должны прописываться в самом Постановлении, а не в порядке или правилах. Но только, если хотим дать отсрочку субьектам. Что и было с 152-фз, а так там нет никаких сроков. Уведомить РКН до начала обработки ПД.

    ОтветитьУдалить
  3. 2. Проблема в том, что изменили показатели пороговые. Если оставить без аннулирования старых, то в течении 4 лет будут однотипные объекты в стране, часть значимые и системами безопасности, а часть незначимыми и без системы безопасности. Так не должно быть.

    ОтветитьУдалить
  4. Я ничего и не говорил про реестр ЗОКИИ;)
    В 152-ФЗ есть срок, точнее он был для операторов, которые осуществляли обработку ПДн до вступления в силу указанного ФЗ. Вот и могли бы для субъектов КИИ предложить аналогичную модель, что для действующих субъектов КИИ срок есть, а для тех, кто таковым становится или для новых объектов КИИ установить срок. Допустим, там столько то дней с момента начала эксплуатации ОКИИ.
    По мнению законотворцев все приложения к ПП являются его неотъемлемой частью, поэтому, видимо, им все равно, где прописывать сроки.
    Законодателю необходимо дополнить ПП соответствующей нормой о необходимости пересмотра категорий в соответствии с новыми показателями, или "закон обратной силы не имеет" (хоть это и ПП).

    ОтветитьУдалить
  5. Про это и речь. Нет реестра субъектов КИИ. И нет реестра ИСПДН. Сравнивать бесполезно. Обсуждаем то мой тезис, что отсутствие сроков классификации испдн в нормативке никому не мешает.

    ОтветитьУдалить
  6. Если смотреть с этой позиции, то согласен, но тогда сравнивать и проводить аналоги вообще не имеет смысла.

    ОтветитьУдалить
  7. Почему? Защишаемый объект один и тот же - информационная система. Да и требования к защите от одного и того же регулятора для испдн, гис и кии.

    ОтветитьУдалить
  8. Вот поэтому я и говорю, что ФСТЭК могли использовать модель со сроками, которую апробировади на примере ПДн. Разумеется, ее необходимо адаптировать под подачу перечня ОКИИ, где для уже субьектов с эксплуатируемыми объектами фиксированный срок, а для вновь создаваемых определенный временной период (от какого момента его считать и сколько отводить времени решит регулятор).
    Многие боятся попасть в ЗОКИИ, всячески стараются этого избежать, регулятор этого опасается и ошибочно думает, что объекты, не попавшие в ЗОКИИ, не защищены, поэтому регулятор всячески хочет как можно больше ЗОКИИ.

    ОтветитьУдалить
  9. Смелое заявление, про ошибочное мнение регулятора про нещащищенность незначимых ОКИИ.Большинство не хочет попасть вообще в субъекты кии, просто из-за уголовной ответственности за эксплуатацию. А ОКИИ или ЗОКИИ это уже вторично. А в ЗОКИИ не боятся, просто денег нет в бюджете субъектов на реализацию требований.

    ОтветитьУдалить
  10. Сегодня последний день для подачи замечаний и предложений. Этап публичного обсуждения заканчивается. Окно возможности повлиять закрывается.Будьте пктивными.

    ОтветитьУдалить
  11. Выложена версия по результатам этапа публичного обсуждения
    https://regulation.gov.ru/projects#npa=87406

    ОтветитьУдалить