понедельник, 3 июня 2019 г.

Некатегорируемые ОКИИ. Так бывает?

    К моей заметке в блоге поступил развернутый комментарий от Алексея.
    Так как предложенная модель поведения субъекта КИИ выходит за рамки вопросов по отнесению интернет-сайтов к объектам КИИ, то решил ответить в отдельной заметке.

    Собственно само предложение:
    "Формирование Перечня объектов КИИ, подлежащих категорированию, осуществляется в соответствии с ПП-127, а не согласно 187-ФЗ (в нем даже нет упоминания про этот Перечень). Т.е. для включения объекта в Перечень ОКИИ, подлежащих категорированию, должны совпадать некие факторы (о которых ниже) не только из 187-ФЗ, а еще и из ПП-127 (это я говорю про второй абзац рассматриваемой заметки).
     В соответствии с ПП-127 категорированию подлежат не все объекты КИИ, а только те, «которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"». Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. Обобщая эти два постулата, может закрасться подозрение, что законодатель хоть не прямо, но косвенно говорит, что все ИС/ИТС/АСУ субъекта КИИ являются объектами КИИ, но категорировать надо не все из них.          На данный счет ранее было много полемик, в ходе которых доказывалось и опровергалось это предположение. Однако недавно ФСТЭК России предложил для общественного обсуждения проект изменений в КоАП, а затем опубликовал его доработанную версию и сводку рассмотрения предложений от общественности (Вы ее публиковали здесь в своем блоге). В этой сводке есть замечательные слова, которые подтвердили указанное выше предположение, что не все объекты КИИ необходимо включать в Перечень объектов КИИ, подлежащих категорированию: «… предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации». Т.е. регулятор допускает существование таковых.
    Кроме того, сложившаяся практика формирования Перечней ОКИИ, подлежащих категорированию, показывает, что в него включаются те из объектов КИИ, которые обрабатывают критические процессы, заранее определенные комиссией по категорированию.
      Итого получается, что сайт субъекта КИИ – это всегда объект КИИ, но не всегда объект КИИ, подлежащий категорированию. Данная ИС подлежит включению в указанный перечень, если она функционирует в одной из 13 сфер, указанных в 187-ФЗ, и если обрабатывает некий критический процесс.
      Поэтому Ваш второй абзац рассматриваемой заметки я бы предложил изложить так:

«Согласно 187-ФЗ и ПП-127 для этого требуется совпадение трех факторов: это должна быть ИС, эта ИС должна функционировать в одной из 13 сфер, эта ИС должна обеспечивать или обрабатывать критический процесс».

    1. Да, действительно. Перечень объектов в 187-ФЗ не упоминается. Но проблема в том, что его роль в процессе категорирования не указана и в ПП127. Более того, в самом ПП127 Перечень вставлен так грубо, что непонятно кто его делает, зачем и на каком этапе. По "14. Комиссия по категорированию в ходе своей работы:" только готовит готовит предложения для включения в перечень объектов. А кто в субъекте эти предложения должен учесть? Кто формирует окончательный Перечень, который утверждает руководитель субъекта?

   2. В п.14 ж) "устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости." ничего про Перечень не говорится. Вот было прописано в ПП127 ""устанавливает каждому из объектов критической информационной инфраструктуры из Перечня одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости." и не было бы вопросов.
      По сути, субъект составляет Перечень, который никому не нужен. В ПП127 ни субъект не проводит никаких действий с ним, ни ФСТЭК. Интуитивно понятно зачем он нужен, но формально он нужен только для отсчета 12 месяцев на категорирование.

3. ПП127 вообще не определяет что категорировать! Область действия ПП127 четко указана в 187-ФЗ. Более того, приведено определение самого процесса категорирования "Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.". А в 187-ФЗ ничего про "обеспечение процессов не сказано вообще. Там однозначно указано, что "4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.". Не предусмотрено никакого исключения.
  4. В 187-ФЗ определение "объекта КИИ" не содержит привязки к принадлежности субъекту КИИ. 
  5. Применение упомянутого проекта статьи в КоАП юридически невозможно за обсуждаемое. У ФСТЭК нет полномочий по 187-ФЗ определять и указывать субъекту какие-либо объекты КИИ.
"проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.". И ничего более. Комиссия создана? Перечень утвержден? Акт категорирования подписан? Форма уведомления прошла согласование в ФСТЭК?      Вот только за это ФСТЭК сможет штрафовать, если закон конечно примут.
    И выглядит это как попытка ФСТЭК снизить объем поступающей информации для проверки, предпринимаемых неофициальными путями. Этакий антиDDOS. 
  6. Не знаю причем здесь сложившаяся практика формирования Перечней, если в ПП127 прямо указана последовательность действий для комиссии. Все прописано в п.5. Как ФСТЭК написал, так комиссия и поступает.
  7. Мало нам незначимых объектов КИИ, теперь еще вторая сущность "объект КИИ, вообще не подлежащий категорированию". Итого: имеем две разновидности объектов КИИ, за которые уже грозит уголовное наказание владельцу, а еще и административное наказание планируют. И их не требуется по закону защищать субъекту КИИ. Это еще не упоминая, что по 187-ФЗ в КИИ входят и не объекты КИИ.

  P.S. Так как никаких официальных разъяснений от ФСТЭК не опубликовано, но наилучшим аргументом было бы участие представителей ФСТЭК в комиссиях субъектов КИИ. Ведь комиссия принимает решение о рекомендуемых к включению в Перечень на одном из этапов  своей работы. Достаточно даже протокола заседания комиссии подведомственного ФСТЭК учреждения.  

+ А. Комаров выложил в своем блоге презентацию "Система документов в области обеспечения безопасности КИИ РФ. Обзор практики категорирования объектов КИИ в ЮФО." Управления ФСТЭК по Южному федеральному округу. На ней четко показано, что никаких объектов КИИ, не подлежащих категорированию нет. Либо значимый объект, либо незначимый. Однозначность позиции подчеркивает указание на обязательность исполнения владельцем незначимого ОКИИ требования по информированию госсопки, которое обязательно для любых объектов, вне зависимости от процесса категорирования.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

12 комментариев:

  1. Отвечу по порядку:
    1. Окей, предположим, что оно так, что формируется перечень объектов КИИ, подлежащих категорированию, направляется в ФСТЭК России, а категорированию подвергаются объекты, которые могут быть этом перечне и или нет, неважно, все на решение субъекта КИИ.
    2. Согласен, сам люблю конкретику.
    3. Про некоторые коллизии между 187-ФЗ и ПП-127 знаю и, по-моему, оставлял где-то здесь соответствующие комментарии.
    4. Ну как же не содержит привязки? Вот: «объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;».
    5. Я привел слова некоего сотрудника ФСТЭК России, который комментировал некое общественное предложение, которое было внесено в рамках общественного обсуждения проекта изменений в КоАП. Эти слова может почитать каждый в соответствующем разделе на Федеральном портале проектов нормативных правовых актов.
    6. Я уже сказал, что люблю конкретику, но вот, лично мне кажется, что в п. 5 ПП-127 есть небольшая ямка в этом плане. Интересно, что на это скажут другие субъекты КИИ, которые читают Ваш блог?
    А Вы сами уже подготовили перечень, направили его в ФСТЭК России, провели категорирование? Как Вы это делали на практике?
    7. А почему бы и нет? Ведь почему «да», я написал.
    Кстати, а как по Вашему категорировать объекты, у которых нет (в смысле, они их не обрабатывают и (или) не обеспечивают) критических процессов (а ведь для критического процесса характерно наступление негативных последствий в ряде областей, которые чудным образом коррелируют с пятью группами показателей критериев значимости, по которым осуществляется категорирование)? Налепить в акте категорирования, а затем в заполненной форме из 236 приказа, что показатели неприменим? Но по опыту скажу, что даже для объектов КИИ, у которых есть критические процессы, оказываются ситуации, когда показатели критериев значимости именно в том виде, в котором они изложены, оказываются неприменимыми.
    Так зачем готовить ворох бумаги, если уже изначально можно отсечь объекты КИИ, которые окажутся незначимыми?

    P.S.: Судя по активности, которая отображается здесь и в Фейсбуке, у Вас есть огромная возможность позадавать вопросы регулятору, поэтому, полагаю, есть вероятность получить хотя бы устный ответ от представителей ФСТЭК России, касающийся интернет-сайтов субъектов КИИ и объектов КИИ, которые не попадают в Перечень объектов КИИ, подлежащих категорированию.
    P.P.S.: И да, свое мнение я никому не навязываю, все мною сказанное, это только мысли в слух, которые можно и нужно критиковать, так как именно в конструктивной критике рождается истина.

    ОтветитьУдалить
  2. 4. Выразился неточно. Я писал про уточнение "объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ".
    5. Функционал комментариев ограничен, я добавил в текст основной заметки слайд с презентации УФСТЭК Начальника отдела обеспечения безопасности КИИ в ЮФО Чернов Н.И. Никакой "развилки" действий между сбором информации и категорированием нет. Никаких объектов кроме значимых и незначимых не показано. Считаю, что этот слайд подтверждает мою точку зрения. Ваша позиция аргументируется анонимным мнением сотрудника в комментариях к законопроекту, моя публичным докладом конкретного официального лица. При желании можете уточнить его позицию
    Телефон: (863) 200-75-25
    6. Только "за". Мнение других людей очень интересно. К сожалению, большинство предпочитает читать, но не выражать собственное мнение.
    7. Ранее я уже писал в своих заметках, что считаю текущую редакцию ПП127 избыточно усложненной. Конкретные предложения по упрощению процессов категорирования выдвигал.

    ОтветитьУдалить
  3. P.S. Не вижу связи с моей личной активностью в блоге и фейсбуке и возможностью задавать вопросы регулятору. Такая возможность имеется у каждого гражданина страны. Кроме официального формата обращений граждан, есть и возможность любому обратится в отделы по обеспечению безопасности КИИ в территориальных управлениях и центральном аппарате. Как блогер я участвовал в встречах по инициативе руководства ФСТЭК, но они по какой то причине прекратились.

    ОтветитьУдалить
  4. P.P.S. Так же не преувеличиваю роль своей позиции по вопросам выполнения законодательства. Стараюсь аргументировать свою точку зрения и рад любому конструктивному диалогу.

    ОтветитьУдалить
  5. С слайдами презентации неоднозначная ситуация. Например, в Телеграмме уже долгое время функционирует чат, посвященный тематике 187-ФЗ. Так вот, в этом чате как-то публиковались слайды одной и той же презентации, но с разных во времени выступлений. И в одно время на слайде были указаны водоканалы, как организации, которые не могут быть субъектами КИИ, в другое время из этого же слайда эта информация пропала, а в третье время снова появилась. И как верить после этого презентациям? А ведь на Портале проектов нормативных правовых актов так с информацией не поиграешь.
    Касательно комментирования п. 4 забыл вчера еще добавить нмжеследующую мысль, что в определении понятия объект КИИ, приведенном в 187-ФЗ, есть привязка только к субъекту КИИ, но, кстати, нет привязки к сферам. А в ПП-127, замечу, законодатель сужает множество объектов КИИ, что категорированию подлежат те из них, которые функционируют непосредственно в одной из 13 сфер.

    ОтветитьУдалить
  6. Алексей, вы вправе ставить достоверность источника под сомнение. Только при большом количестве выступлений специалистов ФСТЭК я не видел слайдов презентации, отражающих вашу позицию.Ни управления по округам,ни центральный аппарат такого не продемонстрировали. Если у вас есть примеры подобного, прошу привести их. Будет полезно всему сообществу безопасников. Устно подобные формулировки от ФСТЭК слышал, а вот документированной позиции не видел.

    ОтветитьУдалить
  7. 2. Я уже говорил ранее, что пп127 не правомочно определять что категировать. Только как.

    ОтветитьУдалить
  8. И самое интересное, я не понимаю, почему вы трактуете комментарий разработчика ФЗ в свою сторону. Гражданин предложил формулировку, в которой конкретизировал состав правонарушения. Автор не согласился и указал, что предложенная гражданином формулировка сужает состав правонарушения и не позволит наказать субъект кии за невключение объекта кии в перечень.

    ОтветитьУдалить
  9. На оборот, ФСТЭК желает выявлять при проверке ис/асу/иткс, которые посчитает объектами КИИ. И будет наказывать за их невключение а перечень.

    ОтветитьУдалить
  10. Как-то странно Вы говорите «…, которые посчитает объектами КИИ.» Ведь у нас по определению из 187-ФЗ ИС/ИТС/АСУ субъекта КИИ автоматически становятся объектами КИИ, а значит и здесь вернее было бы сказать «…, ФСТЭК желает выявлять при проверке объекты КИИ, которые не включили в перечень и наказывать за это». Вопрос. Регулятор хочет наказывать за невключение в этот перечень абсолютно всех объектов КИИ или как?

    Проблема в том, что слайды презентаций можно безболезненно менять от выступления к выступлению (даже непосредственно перед (за секунды, минуты) выступлением их можно «подмахнуть»), а слова, которые изложены в сводке предложений на Федеральном портале проектов нормативных правовых актов, вытравить гораздо, как мне кажется сложнее. Более того, презентация есть лишь составная часть выступления, где важную роль играет и визуальная сторона, и слова спикера, в связи с этим рассматривать оторванные от комментария автора слайды, мне кажется, неправильным.
    У меня не возникло бы подозрений, если бы в этой сводке было указано не «…в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень..», а «…в случае невключения объектов критической информационной инфраструктуры Российской Федерации в перечень…». Т.е. я вижу, что в данный перечень должны включаться ОКИИ, подлежащие категорированию. Если категорированию подлежат все объекты, то зачем это уточнение? И да, в 187-ФЗ не сказано, что надо категорировать все объекты КИИ, там сказано, что это дело производится в соответствии с порядком, который разрабатывает Правительство. Поэтому, почему же Правительство не может конкретизировать выборку ОКИИ, подлежащих категорированию?
    В общем, мне представляется, что ФСТЭК России допускает ситуацию, что у организации могут быть объекты КИИ, которые не попали в Перечень, и регулятор хочет иметь возможность административного воздействия и в том случае, если такой объект не попал в этот перечень необоснованно.

    Кстати, Вы так и не ответили на вопрос о том, как Вы сами подходите к процессу категорирования на практике.

    ОтветитьУдалить
  11. https://valerykomarov.blogspot.com/2018/07/blog-post_30.html примерно так. Мы видим признаки объекта КИИ,поэтому вам административка.

    ОтветитьУдалить
  12. Как блогер я свой подход к категорированию уже описывал в заметках, с тегом -шпаргалка.И планирую продолжить.

    ОтветитьУдалить