Страницы

воскресенье, 16 июня 2019 г.

И опять лотерея от ФСТЭК для субъекта КИИ


 
   Я уже упоминал раннее, что ФСТЭК не только не исправила неопределенность формулировок в ПП127, но и ввела новые через ПП452. Несмотря на полученный опыт с различными трактовками сроков предоставления перечней объектов, подлежащих категорированию. Речь в заметке пойдет про  пересмотр уже присвоенный категорий значимости. Попробуем разобраться.

Постановление Правительства РФ от 13.04.2019 N 452
"О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127"
о) пункт 21 изложить в следующей редакции:
"21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.".
   При этом, никаких сроков и описания процедуры не приведено. У субъекта КИИ возникает основной вопрос, в свете анонсированного большого штрафа за нарушения порядка категорирования, а в какой срок он должен закончить пересмотр установленных категорий значимости? Замечу, что и срок давности ФСТЭК очень хочет сделать в 1 год. (Речь только про случай изменения показателей в ПП127, с пятилетним циклом пересмотра проблем нет).
    Формально, при текущей редакции ПП127, постоянно действующая комиссия субъекта КИИ обязана успеть пересмотреть все утвержденные ранее акты в течении 7 календарных дней, даже не рабочих дней. Оформить соответствующие решения и направить в ФСТЭК на согласование (при необходимости). То есть, с момента официальной публикации до момента вступления в силу.
   С 05.06.1996 по настоящее время акты Правительства РФ, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус федеральных органов исполнительной власти, а также организаций, вступают в силу одновременно на всей территории Российской Федерации по истечении семи дней после дня их первого официального опубликования, если в самом акте не установлен иной порядок вступления в силу. 
   Хорошо субъектам КИИ с небольшим количеством объектов КИИ. Напомню, что пересматривать надо весь перечень, а не только значимые объекты КИИ.
  А это иллюстрацию для субъекта КИИ в энергетики, у которого более 200 объектов.

   И надежды на неизменность показателей категорий особо нет, да и административную ответственность уж очень хочет ФСТЭК ужесточить. Грустно все это. Ведь достаточно было указать реальный срок на пересмотр в ПП452.
 
     P.S. По информации от специалистов отдела по обеспечению безопасности КИИ в УФСТЭК по ЦФО, полученной в рабочем порядке, срок на пересмотр категорий - 1 год!

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

6 комментариев:

  1. Действительно, с порядком пересмотра результатов категорирования ОКИИ выходит неопределенность, так как это предписывается делать в соответствии с ПП-127, но в нем есть только порядок категорирования, так сказать, с нуля. Зачем при пересмотре проделывать все мероприятия с самого начала, если меняется только значение показателей критериев значимости, и никакие исходные данные об ОКИИ, понятное дело, не изменяются?

    Логично предположить, что пересмотр результатов категорирования должен занимать меньше времени, чем сам процесс категорирования с нуля, но не ясна позиция, что это дело надо проделать в сроки, предусмотренные для вступления в законную силу нормативных правовых актов Правительства РФ. Мне кажется, что сроки пересмотра результатов категорирования должны отсчитываться от даты вступления изменений в силу. Так как до момента вступления в законную силу нормативного правового акта, вносящего изменения в показатели критериев значимости, субъекты КИИ вполне законно могут считать, что показатели критериев значимости не изменены.

    ОтветитьУдалить
  2. С этим не поспоришь. Пока ПП не вступили в силу, ничего не поменялось.Но тогда субъекты КИИ обязаны за один день все пересмотреть, на следующий день после вступления в силу ПП они уже нарушители.

    ОтветитьУдалить
  3. Процедура конечно проще, только вот даже пересмотреть более 200 актов одной комиссией не тривиальная задача.

    ОтветитьУдалить
  4. Да, законодатель допустил промажку, так как не указал конкретного срока.
    Однако, мне кажется, что отсутствие конкретного срока окончания пересмотра результатов категорирования, выглядит допущением, чтобы его в завиисимости от ситупции можно было трактовать жестко, как это делает Вы, или трактовать мягко, например, что с момента внесения изменений субъект КИИ должен хоть как-то, но начать пересматривать результаты категорирования.

    Как вариант, возможно, законодатель будет устанавливать сроки пересмотра результатов категорирования в тех нормативных правовых актах, которыми будут вноситься изменения в показатели критериев значимости. Ведь сейчас от субъектов требуется "осуществлять пересмотр", а в тексте ПП, вносящем очередные изменения, может появиться приписка, что завершить пересмотр до такого то числа (для госов обязательно, для остальных - рекомендация).

    ОтветитьУдалить
  5. Вот по этой причине в названии заметки присутствует слово "лотерея".

    ОтветитьУдалить
  6. И именно по причине таких вариантов "ручного применения" регулятром законодательства появляется отрицательное отношение к Законопроекту по изменению в КоАП. Сначала надо "вылизать" законодательные акты, а потом уже вводить жесткую ответственность за его неисполнение. Такие моменты порождают существенные риски для адсинистративного произвола и/или коррупции.

    ОтветитьУдалить