понедельник, 2 сентября 2019 г.

Перечень ОКИИ. Как много как много в этом слове для мозга ибешного слилось.




    По результатам бурного обсуждения заметки,  
решил сделать отдельную заметку с разъяснением «на пальцах» алгоритма действий субъекта КИИ в соответствии в 187-ФЗ и ПП127.

   По  личному опыту, все делают «по мотивам пп127», на результат это не влияет. Но стоит учесть ФСТЭК при дальнейшей модернизации ПП127, да и методички от ФСТЭК мы все еще ждем и ждем.
    Для начала обсуждения установим следующее:
1.       ПП127 является подзаконным актом к 187-ФЗ. То есть, ПП127 разъясняет как субъекту КИИ выполнить требования Статьи 7. "Категорирование объектов критической информационной инфраструктуры" и не более!
2.       187-ФЗ определяет организации, которые станут субъектами КИИ. Никаких подзаконных актов с целью выявления субъектов КИИ среди организаций в законодательстве не предусмотрено.
3.        187-ФЗ определяет субъектов КИИ через владение организацией объектами КИИ.
4.       187-ФЗ определяет ЧТО категорировать, определяет что такое КАТЕГОРИРОВАНИЕ, а ПП127 определяет КАК категорировать (см. п.1).

*             Субъекты через «обеспечение взаимодействия ОКИИ» нам не интересны, потому что у них нет собственных ОКИИ и они не выполняют ПП127.

    Вывод:  Сначала в организации появляется перечень объектов КИИ. На его основании организация принимает решение, что она субъект КИИ и ей необходимо выполнять 187-ФЗ. 
И только потом приступает к выполнению ПП127.
   Формально ничего не мешает утвердит Перечень до создания комиссии по категорированию (далее – комиссия) и направить его в ФСТЭК.
   Если комиссия  внесет предложения по включению в перечень объектов других ИС/ИТКС/АСУ, не учтенных при первичном анализе (пп. «14в»  127ПП), то ответственное лицо внесет изменение в утвержденный Перечень (такое предусмотрено п.15 ПП127) и уведомит ФСТЭК.
   Если комиссия ничего нового не выявила, то Перечень не меняется и в ФСТЭК ничего не направляется.
   Минусы данной схемы: ранний старт отсчета 12 месяцев на работу комиссии и процессов взаимодействия с ФСБ по компьютерным инцидентам, дополнительный документооборот.

   На практике реализуется вариант действий, когда Перечень утверждается после окончания работы комиссии. И формально нет помех на отправку в ФСТЭК одновременно Перечня и форм уведомления о результатах категорирования. Либо заложить в Перечень  10 рабочих дней  на оформление уведомления по форме 236 приказа. То есть, сделать отправку Перечня и формы уведомления с разницей 10 рабочих дней.
   Замечу, что в ПП127  однозначно указано, что «16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.». Единственный документ, который может выпустить комиссия – это акт. Причем в акте сразу указывается категория значимости.
    И срок в 12 месяцев на категорирование напрямую работает только по первой схеме и немножко лукаво по второй схеме (акты готовы и подписаны членами комиссии, но не утверждены руководителем).
   Отдельно отмечу, что комиссия имеет право исключительно на «готовит предложения для включения в перечень объектов». Комиссия не формирует, не утверждает, не направляет в ФСТЭК  Перечень. Комиссия только может предложить ответственному специалисту включить в Перечень какие-либо ИС/АСУ/ИТКС по результатам анализа критических процессов. А вот ответственный специалист не обязан учитывать предложения Комиссии. Захочет учтет и внесет изменения в Перечень, не захочет – значит не захочет.
   И еще, Комиссия не появляется сама по себе в организации. Кто то в организации должен определить персональный состав Комиссии, разработать регламентирующие ее работу документы и обеспечить их утверждение, спланировать деятельность Комиссии, подготовить исходные материалы к заседаниям Комиссии. А еще на нем будет задача по согласованию Перечней от подведомственных организаций при необходимости (в задачи Комиссии это не входит по ПП127), причем сам ведомственный центр может и не быть субъектом КИИ  и никакой Комиссии у него соответственно нет.


P.S. Да, пп.4г ПП127 я трактую как формирование окончательного Перечня, по результатам предложений Комиссии.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

42 комментария:

  1. «Сначала в организации появляется перечень объектов КИИ. На его основании организация принимает решение, что она субъект КИИ и ей необходимо выполнять 187-ФЗ». Это заявление просто верх абсурда. Самоопределение организации в качестве субъекта КИИ осуществляется на основе формального соответствия 187-ФЗ, т.е. организации необходимо понять принадлежит ли ей хотя бы одна ИС, ИТС или АСУ, которая функционирует в одной из 13 сфер, определенных в ст. 2 187-ФЗ. До момента такого формального соответствия организация не является субъектов КИИ и, как следствие, не может иметь объектов КИИ, соответственно и не может подготовить их перечень. Таким образом, логично предположить, что организация сначала осуществляет самоанализ или самоинвентаризацию с целью поиска у себя хотя бы одной ИС, ИТС или АСУ, которая функционирует в одной из 13 сфер. Именно для этого организация (еще не субъект) может сформировать перечень всех своих ИС, ИТС, АСУ (еще не объектов КИИ) с разбивкой по сферам функционирования. Если среди этих ИС, ИТС, АСУ оказывается хотя бы одна из заветных сфер, то бинго – организация субъект КИИ. После этого момента все (хотя такого слова в законе нет, но, можно предположить, что имеется ввиду именно «все») ИС, ИТС, АСУ этой организации (уже субъекта КИИ) мутируют в объекты КИИ. Иными словами, понятие «субъект КИИ» первично к понятию «объект КИИ», понятие «субъект КИИ» не определяется через «понятие объект КИИ» (а вот наоборот – пожалуйста), т.е. организация никак (если смотреть в полном соответствии с 187-ФЗ) не может принять решение о том, что она субъект КИИ на основании перечня объектов КИИ, так как перечня объектов КИИ не может существовать до того момента пока организация не стала субъектом КИИ.

    «Комиссия не формирует, не утверждает, не направляет в ФСТЭК Перечень». Это именно так и есть, так как это все делает субъект КИИ, а уж чьими руками, то руководитель субъекта КИИ разберется.

    ОтветитьУдалить
  2. И чем это отличается от написанного в заметке?

    ОтветитьУдалить
  3. С какого момента организация становится субъектом КИИ?

    ОтветитьУдалить
    Ответы
    1. С того самого момента, как выявляет у себя хотя бы одну систему из одной из 13 заветных сфер, а не с того момента, как Вы пишете, что организация составляет перечень ОКИИ, так как у организации не может быть, по формальному признаку, ОКИИ до того момента, как она стала субъектом КИИ. Т.е. перечень объектов КИИ может составить только та организация, которая уже является субъектом КИИ.

      Удалить
    2. Обоснуйте. Я не вижу в 187-фз никаких указаний, что организация должна что то выявить у себя. Вот присвоить категорию, сопоставив показатели-вижу, а выявлять - не вижу.

      Удалить
    3. Или по другому. Является ли организация субъектом КИИ, если она ничего не выявила и даже не искала?

      Удалить
    4. Пожалуйста.

      В соответствии с определением субъекта КИИ, приведенном в ст. 2 187-ФЗ, таковым является организация, которой на праве собственности принадлежат ИС, ИТС, АСУ из 13 сфер. Как Вы видите речь идет не об объектах КИИ, а об ИС, ИТС, АСУ. Переходим к определению объекта КИИ, которой приведено в этой же статье: «объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры», как Вы видите в этом определении нет указаний на то, что эти ИС, ИТС, АСУ функционируют в какой-то сфере, но есть прямое указание на то, что это системы и/или сети именно субъекта КИИ. Т.е. в определении субъекта КИИ речи ни о каких объектах КИИ не идет, однако определение объекта КИИ раскрывается именно через понятие «субъект КИИ». Более того, определение «субъект КИИ» выступает первичным по отношению к определению «объект КИИ». Как следствие, вполне логично и закономерно, что сначала организация должна самоопределиться* с тем субъект КИИ она или нет, а потом уже составлять перечень ОКИИ (до момента самоопределения* организации в качестве этой сущности, все ее ИС, ИТС, АСУ будут просто ИС, ИТС, АСУ, но не объектами КИИ). В связи с этим я утверждаю, что Ваше заявление о том, что «Сначала в организации появляется перечень объектов КИИ. На его основании организация принимает решение, что она субъект КИИ и ей необходимо выполнять 187-ФЗ» является несоответствующим букве закона.

      * - в вот здесь вопрос очень хороший. Вы сами пишете, что "организация принимает решение, что она субъект КИИ...", а может ли кто-то за организацию принять это решение? Ведь если организация примет решение, что она не субъект КИИ, то и ее ИС, ИТС, АСУ - не объекты КИИ. В таком случае можно 187-ФЗ не выполнять, а получиться ли выйти из под уголовной ответственности?

      Удалить
    5. Организация стала субъектом КИИ с 1 января 2018 года автоматически. Так как в 187-фз нет никаких условий и зависимостей от действий субъектов или регуляторов.

      Удалить
    6. И вопрос, а как организация оформляет решение о самоопределении себя как субъекта КИИ. Кто это делает в организации, каким документом фиксируется? В моем варианте - это служебная записка на имя руководителя организации, а для самоопределении назначается ответственно лицо

      Удалить
    7. Организация стала субъектом КИИ с 1 января 2018, если она соответсвует прнятию "субъект КИИ". Кому-то проще, так они очевидно стали субъектами КИИ, кому-то сложнее, так как надо найти у себя хоть какой-то признак, чтобы стать субъектом (например, систему из 13 заветных сфер), кому-то надо для очистки совести документально утвердиться, что организация не субъект.
      Но речь же о том, что организация становится субъектом не на основании перечня ОКИИ, а на основании формального соответствия определению "субъект КИИ". До тех пор, пока организация не соответствует этому определению, у неё априори не может быть никаких объектов КИИ.

      Удалить
    8. Вопрос был не про самоопределение организации. От того, что организация ничего не делала или категорически против ее идентификации как субъекта КИИ, она субъектом КИИ быть не перестанет.

      Удалить
    9. Сформулирую свою мысль по другому. Составил ответственный реестр собственных ИС/АСУ/ИТКС, функционирующих в сферах КИИ и доложил своему Гендиру. Организация стала субъектом КИИ или еще нет?

      Удалить
    10. Я считаю, что организация стала субъектом КИИ как только на основании реестра ИС/ИТКС/АСУ выпущен приказ по организации о создании комиссии по категорированию. То есть, организация приступила к выполнению ПП127 как субъект КИИ. Вы согласны с такой трактовкой?

      Удалить
    11. Нет, в соответствии с п. 11 ПП-127 комиссия по категорированию создаётся приказом руководителя субъекта КИИ, а это значит, что организация уже является субъектом КИИ. Мне кажется, что организация становится субъектом КИИ до момента чтения ПП-127, и тем более до момента начала категорирования.
      Согласен, что момент становления организации субъектом КИИ выглядит неоднозначным и не в полной мере урегулированным, так как, например, непонятно кто принимает такое ключевое решение. Осложняется дело и тем, что не раскрывается, что же имеется ввиду под ИС,ИТС,АСУ из ряда сфер (кроме медицинских), как определять, что та или иная система или сеть функционирует в интересующей сфере? Иногда все очевидно, а иногда - не очень.
      Но, возвращаясь, я думаю, что самоопределение организации в качестве субъекта происходит на стадии чтения 187-ФЗ либо юристом, либо гендиром, который затем собирает совещание и коллегиально неким советом решает субъект организация или нет, т.е. соответствует ли они определению субъекта КИИ. Но учитывая такую вольность могут быть и ошибки, что организация предположит, что она не субъект, а, например, суд, в случае чего, посчитает иначе.

      Удалить
    12. И в этот момент реестр ис превращается в перечень объектов КИИ. Согласны?

      Удалить
    13. Формально, да. Как только организация стала субъектом КИИ, то принадлежащие ей ИС, ИТС, АСУ становятся объектами КИИ. Рад был бы сказать, что "все", но такого слова, к моему большому (да и, вероятно, некоторой части заинтересованной общественности) сожалению, в законе нет.

      Удалить
  4. Схема алгоритма № 1 абсолютно не учитывает следующие положения Правил категорирования ОКК, утв. ПП № 127: "14. Комиссия по категорированию в ходе своей работы:
    а) определяет процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
    б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;" Работы начинаются с выявления критических процессов, а не ИС. Предлагаемый подход - прямое нарушение порядка категорирования, что потенциально чревато штрафом, если такой таки введут. Кроме того, в большинстве случаев, уже после анализа критичности процессов, для многих субъектов КИИ работы по категорированию завершаться, в виду отсутствия тех самых критических процессов. В качестве примера можно привести организации, являющиеся продавцами энергоносителей, например газа. Такие организации не имеют ИС, АСУТП напрямую связанные с управлением газовым оборудованием, они просто продают товар, критичности в их процессах 0%.

    ОтветитьУдалить
    Ответы
    1. см. пункт № 1 заметки. ПП127 выполняет только субъект КИИ. Для этого необходимо сначала выявить у себя объекты КИИ. А уже потом - комиссии, процессы и прочая бюрократия

      Удалить
  5. Назначение некоего "ответственного лица" - абсолютно лишний шаг, а само лицо - лишняя сущность.
    На практике все немного иначе: в любой мало-мальски серьезной организации есть зам. по безопасности, который и организует работу по категорированию и обеспечению безопасности ОКИИ. Именно он определит, кто войдет в комиссию по категорированию, представит проект приказа о назначении комиссии и определит что и в какой срок она должно сделать. Назначенная комиссия формирует перечень и проводит категорирование объектов, которые в него включены. Все логично.

    Если поручить формирование перечня кому-то одному, велик риск того, что он напихает в этот перечень все что надо и не надо (ему же не жалко, а париться потом будут другие). А ФСТЭК, приехав к субъекту с проверкой, будет исходить именно из представленного перечня ("в вашем перечне 100500 объектов КИИ, ну-ка, ну-ка, покажите как вы их защищаете...").

    ОтветитьУдалить
    Ответы
    1. Знаю огромное количество организаций (более 1000) в совершенно различных сферах КИИ, в которых замы по безопасности самоустранились.
      И ФСТЭК проверят обеспечение безопасности не объектов из Перечня, а исключительно значимые ОКИИ из Реестра.

      Удалить
    2. И комиссия не имеет права формировать перечень. Ее обязанности и полномочия четко прописаны в ПП127

      Удалить
    3. Насчет замов очень странно: если они самоустранились (т.е. забили), то кто тогда занимается выполнением законодательства по безопасности КИИ? Лично генеральные? Или некие "ответственные" без полномочий?
      Очень странно. Я такого пока не встречал.

      ФСТЭК пока не проверяет безопасность ЗОКИИ: нет оснований. Плановые проверки начнутся 01.01.2021г.

      Комиссия имеет полное право формировать перечень объектов, тем более, что она постоянно действующая, а не разовая. Обязанность разработать перечень целесообразно прописать в Приказе о создании комиссии или в Положении о комиссии.

      Удалить
    4. Во ФСТЭК подается Перечень объектов, а затем и результаты категорирования ВСЕХ объектов, попавших в Перечень. И по каждому объекту из Перечня субъект должен быть готов убедить ФСТЭК, что категорирование проведено корректно. Именно это ФСТЭК и проверяет при направлении ей сведений о результатах категорирования.

      Если в перечне 100500 объектов, сведения направляются о каждом. Поэтому и формировать перечень нужно с умом, а не механически. Один "ответственный" просто не сможет качественно сделать эту работу.

      Удалить
    5. По ПП127 комиссия имеет право только предлагать обьекты для внесения в перечень. Комиссия категарирует объекты из перечня, а не формирует его. Комиссия пользуется перечнем в своей работе, а не создаёт его.

      Удалить
    6. Не обязательно. Ничего не мешает внести изменения в уже отправленный перечень, либо вообще его аннулировать.

      Удалить
    7. По факту у субъекта все делает один человек, тот кого директор назначил ответственны. Да, в своей работе он пользуется компетенцией других работников, но не более.

      Удалить
    8. "По ПП127 комиссия имеет право только предлагать обьекты для внесения в перечень..."

      Это Вы сами придумали. В ПП-127 не указано, чего не имеет право делать комиссия. Ничто не мешает вменить в обязанность комиссии сформировать перечень. Напишут в Положении "комиссия красит забор" - будет красить забор, делов-то.

      Удалить
    9. Читайте первоисточники. В пп127 все расписано. И какие вопросы рассматривает комиссия, и какие полномочия, и какие итоговые документы по результатам её работы

      Удалить
    10. Так я их и читаю...
      Если там не указана периодичность заседаний комиссии, это вовсе не значит, что заседаний не будет.

      Удалить
    11. Я про периодичность ничего не заявлял. По существу вопроса будет комментарий положений ПП127, регламентирующих работу комиссии?

      Удалить
    12. Ну, по-вашему, если что-то не написано в постановлении, то делать это категорически нельзя. Что тут можно комментировать?

      Удалить
    13. Ну вот по ИСПДн и ГИС нет в нормативке никакого упоминания о комиссиях по классификации. Хотя по жизни создаются комиссии по классификации и они оформляют акты. В КИИ же, Правительство решило, что порядок категорирования требует обязательного упорядочивания. Раз регламентировали создание и работу комиссии через подзаконный акт, то увы - вольности кончились. Либо у вас в организация анархия по выполнению требований 187-ФЗ, либо вы в правовом поле работаете.

      Удалить
  6. В положении о госконтроле есть как плановые, так и вне плановые проверки. Лютиков уже докладывал о сотнях зокии, внесенных реестр. ФСТЭК имеет полномочия уже проводить их внеплановую проверку

    ОтветитьУдалить
    Ответы
    1. Полномочия-то ФСТЭК имеет, но пока проверять нечего. Пока все заняты категорированием, до реализации приказов 235 и 239, а тем более до оценки эффективности принятых мер еще далеко.

      Пока нет никакой практики проведения выездных проверок.

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
    3. Ну по лицензиата проверки есть и толку? Фстэк фиксирует, что половина лицензиата несколько лет в подряд серьёзно нарушает. Причём здесь беспомощность ФСТЭК и законодательство по КИИ?

      Удалить
  7. Про беспомощность я не говорил, это Вы опять-таки придумали.
    Я говорил о том, что пока просто нечего проверять: рано.

    ОтветитьУдалить
    Ответы
    1. Вообще то, это официальные отчёты фстэк за последние пару лет, опубликованные на их сайте. Почему вы решили, что проверять нечего? Уже год, как есть зокии, внесенные в реестр. Сколько лет надо на создание сб зокии?

      Удалить
    2. Как минимум год: заложить деньги в бюджет, найти и обучить специалистов, закупить СЗИ, написать гору документов, провести оценку...

      В реальности значительно больше года. А если, как вы говорите, замы по безопасности самоустранились, то гораздо больше.

      Удалить
    3. В 187-ФЗ не предусмотрено никакой отсрочки по выполнению требований безопасности ЗОКИИ. В подзаконных актах также этого нет. Я считаю, что не меньше трех лет надо на создание СБ ЗОКИИ, но законных оснований на такой срок у меня нет.

      Удалить
    4. В 2017 году авторам 187-ФЗ предлагалось ввести отсрочку, по аналогии с 152-ФЗ. Не захотели. Формально, субъект ЗОКИИ обязан создать СБ к моменту внесения в реестр ЗОКИИ.

      Удалить