22.01.2019 опубликован доработанный по итогам общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127». Сравнение версий получилось очень объемным и не читаемым в формате заметки блога, так что выложил отдельным документом.
Что же примечательного изменилось за время публичного обсуждения проекта документа?
«11.2. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях, установленных пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
подпункт «б» исключен
подпункт «в» исключен
б) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.»
Да, и обязанности субъекта КИИ возникают у организации при полном отсутствии объекта КИИ, просто при возникновении замысла о его материализации!
Не забудьте направить сведения о несуществующем объекте КИИ в ФСТЭК по форме 236 Приказа ФСТЭК. Как только ТЗ утвердили, так 10 рабочих дней пошло. Даже проектной документации еще нет на объект КИИ.
«18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах «а», «б», «в» и «з» пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах «г», «д», «е», «ж» и «и» пункта 17 настоящих Правил, в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение).»
И как быть с формулировкой из 187-ФЗ?
"8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей."
2. Если посмотреть проект ПП127 от 2017 года, то испытаем ощущение «дежавю» - те же 6 месяцев на Перечень+12 месяцев на категорирование. Только вот уже не 2018 год исполнения, а 2019 год. Фактически, ФСТЭК признала фальстарт 187-ФЗ в 2018 году. Составление Перечня растянули с 6 запланированных месяцев до 18 месяцев, а срок категорирования вынуждены сохранить в 12 месяцев. Даже спустя год после вступления в силу 187-ФЗ им пришлось согласится с увеличением на 6 месяцев срока категорирования (с 6 до 12 месяцев).
«15. Перечень эксплуатируемых объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения дополнений, изменений).»
Для наглядности составил график.
Для наглядности составил график.
3. Всем организациям, выполнившим требования ПП127 в 2018 году, придется все переделывать заново. Если категорировали своими силами, то хоть опыт наработали. А, если подрядчиков привлекали, то остается только порадоваться за их бизнес и приготовить денежки снова. В наихудшем положении те субъекты КИИ, которые уже начали построение системы безопасности ЗОКИИ, есть риск испытать прелесть от изменения бюджетов и сроков при повышении категорий значимости.
«21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами.»
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Вот с пересмотром категории и безкатегории ФСТЭК России действительно перемудрили. Это вполне логично пересматривать категорию значимых и обоснование у незначимых раз в пять лет, но не каждый раз при изменении Показателей. А если они начнут вносить в них изменения каждый год или еще чаще? Это может полностью обесценить сам процесс категорирования.
ОтветитьУдалить1. У ФСТЭК есть выбор? Только при изменениях границ 1 и 2 категорий значимости. Если меняется ПОРОГ попадания в ЗОКИИ (нижняя граница 3 категории значимости), то будет обесценен сам 187-ФЗ. Около 4 лет будут одновременно существовать в стране однотипные объекты - с защитой и без. Спрашивается,а в чем тогда актуальность 187-ФЗ? Проблема в сущности, заложенных в 187-ФЗ : ОКИИ, которые незначимые. Для Приказов 17,31 и ПП1119 таких проблем нет.
ОтветитьУдалить2. Частая смена показателей категорий значимости очень сильно обесценивает репутацию Правительства РФ, ну и ФСТЭК (как авторов документа). Тем более такая радикальная, как снижение с 100 000 до 2 000 человек (в 50 раз) в течении года.
ОтветитьУдалить3. Собственно, пока ФСТЭК пытается использовать ПП127 шире рамок области, заложенной в 187-ФЗ, говорить об обесценивании категорирования бесполезно.
ОтветитьУдалитьТак и будет получаться документ, сложный для применения и с очень неоднозначными формулировками.
О чем и речь, зато седым головам на Инфофоруме все кажется прозрачным...
ОтветитьУдалитьПосмотрим что расскажут "не седые головы" на ТБ-форуме. А по Инфофоруму будет моя заметка в понедельник.
ОтветитьУдалитьЖду с нетерпением, как и всегда.
ОтветитьУдалитьМожно узнать почему не совпадают сроки? В одних документах прописано пол года на категорирование в других год, кому верить?
ОтветитьУдалитьФСТЭК внес на публичное обсуждение вариант с 6 месяцами. По результату рассмотрения поступивших замечаний и предложений увеличили до 12 месяцев.
ОтветитьУдалитьутвержденная версия в 2018 году - 12 месяцев
ОтветитьУдалитьпредложение ФСТЭК (1 версия) - 6 месяцев
уточненное предложение ФСТЭК (2 версия) - 12 месяцев
утвержденная версия в 2019 году - ? это увидим только по факту официальной публикации утвержденной Правительством версии.
Верить надо только утвержденным документом. Сейчас действует срок в 12 месяцев.
ОтветитьУдалитьПодскажите пожалуйста, какой окончательный (пока) вариант изменений ПП-127? Текст отправленный на антикоррупционную экспертизу или текст, доработанный по итогам обсуждений? Вопрос возник потому, что на экспертизу ушёл текст с 6 месяцами на категорирование и отсутствием 21 пункта.
ОтветитьУдалитьУ меня нет такой информации. По опыту ПП127 в 2017 году, на регистрацию в минюст может уйти вариант, существенно отличающий и от прошедшего экспертизу и от публично опубликованного на разных стадиях. Надо ждать официальной публикации.
ОтветитьУдалитьhttp://publication.pravo.gov.ru/Document/View/0001201904160054?fbclid=IwAR2yKQOOJ1mN-7DuyCFRhmz0yb7zLx2k5_ggNJvtI_r6XCY22papM-4PF5o
ОтветитьУдалить