четверг, 16 мая 2019 г.

Подсказки по выполнению 187-ФЗ. Согласование перечней ОКИИ подведомственных субъектов.


    К сожалению, при внесении изменений в ПП127 изменений, ФСТЭК не захотела урегулировать некоторые вопросы по процедуре категорирования ОКИИ. В данной заметке речь пойдет о согласовании перечней ОКИИ у подведомственных организаций-субъектов КИИ.

     Постановление Правительства РФ от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"
     15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
    Получается парадоксальная ситуация, когда ПП127 для подведомственных субъектов КИИ установило обязанность по согласованию, а на ведомственные центры нет. И процедура согласования ведомственным центром перечней объектов никак не прописана в подзаконных актах. А по проекту изменений в КоАП "несогласованный перечень у субъекта КИИ"  попадает под административную ответственность за нарушение порядка категорирования - штраф до 100 000 рублей.
   Раз регуляторы оставили организацию в ведомственном центре процессов согласования перечней, полученных от подведомственных организаций на наше усмотрение, то берем инициативу в свои руки и создаем коллегиальные органы (комиссии) по согласованию в ведомственных центрах.               
     Отличный пример подобного подает Минтранс, рекомендую использовать нижеприведенных текст для использования в своих организациях.

МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 14 декабря 2018 г. N 449

О СОЗДАНИИ КОМИССИИ МИНИСТЕРСТВА ТРАНСПОРТА
РОССИЙСКОЙ ФЕДЕРАЦИИ ПО СОГЛАСОВАНИЮ ПЕРЕЧНЕЙ
ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
ПОДВЕДОМСТВЕННЫХ МИНТРАНСУ РОССИИ СЛУЖБЫ, АГЕНТСТВ,
ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ

    В целях исполнения требований Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и постановления Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" приказываю:
    1. Создать Комиссию Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций.
   2. Утвердить состав Комиссии Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций согласно приложению N 1 к настоящему приказу (не приводится).
   3. Утвердить Положение о Комиссии Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций согласно приложению N 2 к настоящему приказу.
   4. Контроль за исполнением настоящего приказа оставляю за собой.

Министр
Е.И.ДИТРИХ

Приложение N 2

Утверждено
приказом Минтранса России
от 14 декабря 2018 г. N 449

ПОЛОЖЕНИЕ
О КОМИССИИ МИНИСТЕРСТВА ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ
ПО СОГЛАСОВАНИЮ ПЕРЕЧНЕЙ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ ПОДВЕДОМСТВЕННЫХ МИНТРАНСУ РОССИИ СЛУЖБЫ,
АГЕНТСТВ, ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ

    1. Настоящее Положение регламентирует деятельность Комиссии Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций (далее - Положение и Комиссия, соответственно) в рамках обеспечения реализации требований Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в транспортной отрасли и постановления Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
   2. Комиссия в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации и актами федеральных органов исполнительной власти, а также настоящим Положением.
   3. Комиссию возглавляет председатель, который проводит ее заседания. Председатель осуществляет общее руководство деятельностью Комиссии, обеспечивает коллегиальность в обсуждении возникающих вопросов, распределяет обязанности и дает поручения членам Комиссии.
  4. В отсутствие председателя Комиссии его обязанности исполняет заместитель председателя Комиссии.
  5. Заседания Комиссии проводятся по мере необходимости.
  6. Заседания Комиссии правомочны при наличии кворума, составляющего не менее двух третей состава Комиссии.
  7. Срок рассмотрения Комиссией представленных ей на согласование перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций не должен превышать тридцати дней с момента их поступления в Минтранс России. Ход заседания Комиссии фиксируется в протоколе ответственным секретарем Комиссии.
  8. Решения Комиссии принимаются простым большинством голосов присутствующих на заседании членов Комиссии и оформляются протоколами, которые подписывают принимавшие участие в голосовании члены Комиссии, подготовленными не позднее трех рабочих дней с момента очередного заседания Комиссии.
  9. При равенстве голосов членов Комиссии, решающим является голос председательствующего на заседании Комиссии. Председательствующий голосует в последнюю очередь.
  10. Протоколы заседаний Комиссии хранятся в течение шести лет.
  11. Комиссия для решения возложенных на нее задач имеет право:
для принятия решения о согласовании перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций, запрашивать у субъектов критической информационной инфраструктуры необходимые для принятия решения материалы;
приглашать на свои заседания с целью получения дополнительных консультаций должностных лиц, входящих в состав подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций.

  12. Принятое Комиссией решение о согласовании перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций направляется соответствующему субъекту критической информационной инфраструктуры. (Документ предоставлен КонсультантПлюс)


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

13 комментариев:

  1. Зачем организациям использовать этот текст? Если организация независима, т.е. не является подведом, то ей и согласовывать не надо. А здесь текст именно для ФОИВ или Госкорпорации, осуществляющих регулирование соответствующих сфер и имеющих именно подведомственные организации. Так, например, даже не все организации сферы атомной энергии или банковской сфере подведомственны Росатому или ЦБ соответственно. Да эти регуляторы еще в том году, по-моему, определились со сроками предоставления перечней и себе на согласование, и направления в ФСТЭК России, аналогично у них и с результатами категорирования.

    ОтветитьУдалить
    Ответы
    1. Проблема в том, что в тексте ПП127 не хватает конкретизации в части "ФЕДЕРАЛЬНЫЙ" или "проводящих ЕДИНУЮ госполитику в сферах"
      ПП127 15.Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.

      Удалить
    2. Для примера - сфера здравоохранения.
      Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
      Субъекты Федерации так же имеют право на нормативно-правовое регулирование в этой сфере



      1. Законодательство в сфере охраны здоровья основывается на Конституции Российской Федерации и состоит из настоящего Федерального закона, принимаемых в соответствии с ним других федеральных законов, иных нормативных правовых актов Российской Федерации, законов и иных нормативных правовых актов субъектов Российской Федерации.
      2. Нормы об охране здоровья, содержащиеся в других федеральных законах, иных нормативных правовых актах Российской Федерации, законах и иных нормативных правовых актах субъектов Российской Федерации, не должны противоречить нормам настоящего Федерального закона.
      3. В случае несоответствия норм об охране здоровья, содержащихся в других федеральных законах, иных нормативных правовых актах Российской Федерации, законах и иных нормативных правовых актах субъектов Российской Федерации, нормам настоящего Федерального закона применяются нормы настоящего Федерального закона.
      4. Органы местного самоуправления в пределах своей компетенции имеют право издавать муниципальные правовые акты, содержащие нормы об охране здоровья, в соответствии с настоящим Федеральным законом, другими федеральными законами, иными нормативными правовыми актами Российской Федерации, законами и иными нормативными правовыми актами субъектов Российской Федерации.

      Удалить
    3. Конкретный пример по региону - Воронеж.
      О здравоохранении в Воронежской области (с изменениями на 8 апреля 2019 года)

      ЗАКОН

      ВОРОНЕЖСКОЙ ОБЛАСТИ



      от 25 июня 2012 года N 93-ОЗ

      2. Государственная политика Воронежской области в сфере охраны здоровья осуществляется исходя из того, что жизнь и здоровье граждан являются одним из условий обеспечения национальной безопасности, и основывается на следующих принципах….

      Статья 4. Правовое регулирование в сфере охраны здоровья



      Правовое регулирование в сфере охраны здоровья осуществляется на основе Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, настоящего Закона Воронежской области и иных нормативных правовых актов Воронежской области.

      Статья 7. Полномочия Воронежской областной Думы в сфере охраны здоровья



      К полномочиям Воронежской областной Думы в сфере охраны здоровья относятся:





      1) принятие законодательных и иных нормативных правовых актов, контроль за их соблюдением и исполнением;

      Статья 9. Полномочия правительства Воронежской области в сфере охраны здоровья



      К полномочиям правительства Воронежской области в сфере охраны здоровья относятся:





      1) принятие нормативных правовых актов в сфере охраны здоровья, надзор и контроль за их соблюдением и исполнением;

      Статья 10. Полномочия исполнительного органа государственной власти Воронежской области в сфере охраны здоровья



      К полномочиям исполнительного органа государственной власти Воронежской области в сфере охраны здоровья относятся:





      1) издание в рамках собственной компетенции нормативных правовых актов в сфере охраны здоровья и обеспечения санитарно-эпидемиологического благополучия населения, в сфере обращения лекарственных средств, контроль за их соблюдением и исполнением;

      Удалить
    4. Департамент здравоохранения Воронежской области проводит государственную политику в сфере здравоохранения, включая вопросы организации медицинской профилактики, в том числе инфекционных заболеваний и СПИДа, медицинской помощи и медицинской реабилитации, фармацевтической деятельности.

      Основными задачами департамента являются участие в выработке и реализации государственной политики в области охраны здоровья населения Воронежской области, нормативно-правовое регулирование в сфере государственного здравоохранения и фармацевтической деятельности, охрана здоровья матери и ребенка, оказание специализированных видов медицинской помощи, организация системы профилактических мероприятий, медицинской помощи населению, медицинской реабилитации.

      Департамент осуществляет следующие основные функции:

      управление здравоохранением, в том числе:
      отраслевое программирование на долгосрочный этап, на планируемый год;
      управление лечебной и профилактической деятельностью системы здравоохранения Воронежской области;
      управление специализированной медицинской помощью;
      регулирование отношений, возникающих в сфере обращения лекарственных средств, в пределах утвержденных полномочий.https://zdrav36.ru/funkcii-i-struktura-departamenta-zdravoohraneniya-voronezhskoj-oblasti

      Удалить
  2. Вот для ФОИВ и ОИВ субъектов Федерации эта заметка и написано.

    ОтветитьУдалить
  3. И касается не только регуляторов, но и выполняющих функции по проведению или реализации госполитики в указанных сферах. А это огромное количество организаций в стране.

    ОтветитьУдалить
  4. Погодите, а разве государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики в установленной сфере (применительно для КИИ это 13 сфер) это не: Минздрав, Мин науки и высшего образования, Минтранс,Минкомсвязь, Минэнерго, Центральный Банк, Минфин (не уверен), Росатом, Минобороны, Роскосмос (вот не могу на вскидку еще за три сферы вспомнить)?

    ОтветитьУдалить
    Ответы
    1. А почему Минфин вызывает вопросы? У меня больше вопросы как раз упоминания Банка России вызывают.
      Постановление Правительства РФ от 30.06.2004 N 329

      "О Министерстве финансов Российской Федерации"

      Министерство финансов Российской Федерации (Минфин России) является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере бюджетной, налоговой, страховой, валютной, банковской деятельности, кредитной кооперации, микрофинансовой деятельности, финансовых рынков, государственного долга, аудиторской деятельности, бухгалтерского учета и бухгалтерской отчетности, производства, переработки и обращения драгоценных металлов и драгоценных камней (за исключением разработки проектов документов стратегического планирования в сфере добычи и производства драгоценных металлов, добычи драгоценных камней и последующей их обработки, а также финансовой поддержки субъектов деятельности в указанной сфере в формах, предусмотренных законодательством Российской Федерации, поддержки научно-технической и инновационной деятельности, информационно-консультационной поддержки, поддержки в области развития кадрового потенциала и осуществления внешнеэкономической деятельности указанных субъектов), производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции (за исключением производства сельскохозяйственными товаропроизводителями вина, игристого вина (шампанского) из собственного винограда) и ограничения потребления (распития) алкогольной продукции, таможенных платежей, определения таможенной стоимости товаров, таможенного дела, формирования и инвестирования средств пенсионных накоплений, в том числе включенных в выплатной резерв, организации и проведения лотерей, азартных игр, производства и реализации защищенной от подделок полиграфической продукции, финансового обеспечения государственной службы, государственного регулирования деятельности негосударственных пенсионных фондов, управляющих компаний, специализированных депозитариев и актуариев по негосударственному пенсионному обеспечению, обязательному пенсионному страхованию и профессиональному пенсионному страхованию (за исключением государственного регулирования правоотношений между негосударственным пенсионным фондом и участниками негосударственного пенсионного фонда, застрахованными лицами и их правопреемниками, а также в части правоотношений, субъектом которых является Пенсионный фонд Российской Федерации), бюро кредитных историй, оказания государственной поддержки субъектам Российской Федерации и муниципальным образованиям за счет бюджетных ассигнований федерального бюджета, применения контрольно-кассовой техники, осуществления закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

      Удалить
  5. В свое время уже касался этого вопроса и пытался составить табличку по сферам деятельности
    https://valerykomarov.blogspot.com/2018/03/blog-post_23.html

    ОтветитьУдалить
  6. За примеры сппсибо. Но мне что-то кажется, что пример со сферой здравоохранения нельзя экстрапллировать на другие упомянутые в 187-ФЗ сферы.

    ОтветитьУдалить
  7. Каждую сферу разбирать надо конечно отдельно.

    ОтветитьУдалить
  8. Пока нет административки за нарушение порядка категорирования, то и не сильно страшны эти нюансы формулировок.

    ОтветитьУдалить