четверг, 30 января 2020 г.

Проверка результатов категорирования ОКИИ


     
    Прокурорские запросы, с требованием отчитаться за выполнение категорирования, заставили задуматься над вопросом, а как ФСТЭК проверяет правильность действий субъекта КИИ по категорированию и сколько времени отведено субъекту КИИ на формирование и утверждение акта категорирования.

     
      187-ФЗ. Ст.7
 "6. ФСТЭК, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту КИИ одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.".
    Порядок осуществления категорирования установлен ПП127, включает:
5. Категорирование включает в себя:
а) определение процессов;
б) выявление критические процессы;
в) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию;
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
е) присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
    Важно: в ПП127 направление сведений о результатах категорирования в ФСТЭК в процесс категорирования не включено!

  Заниматься всем этим должна комиссия субъекта КИИ
14. Комиссия по категорированию в ходе своей работы:
а) определяет процессы;
б) выявляет наличие критических процессов у субъекта КИИ;
в) выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов;
г) рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектахКИИ;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;
ж) устанавливает каждому из объектов КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

   Итог: в порядок категорирования входит: создание комиссии, составление перечня, присвоение категории, формирование акта категорирования.
Действия комиссии четко прописаны, все решения оформляются актом. В акте указываются только общие сведения об ОКИИ и конечный результат присвоения категории. Перечень объектов КИИ и сведения о результатах категорирования оформляются субъектом, а не комиссией.
     Все то же самое мы видим в презентациях ФСТЭК

   Какая информация доступна ФСТЭК для проверки соблюдения порядка категорирования:
1. Создание комиссии? Нет, не имеет никакой информации ФСТЭК об этом.
2. Выявлялись ли процессы? Нет, такая информация не поступает.
3. Выявлялись ли критические процессы? Нет, такая информация не поступает.
4. Выявлялись ли ОКИИ, которые участвуют в критических процессах? Нет, такая информация не поступает.
5. Составление и утверждение Перечня? Да. Может проверить.
6. Действия нарушителя и угрозы? Да. Может проверить.
7. Оценку масштаба? Да. Может проверить.
8. Присвоение категории? Да. Может проверить.

  Таким образом, ФСТЭК не имеет никакой информации о том, кто и как составил Перечень ОКИИ. Проверить исполнения субъектом КИИ процедуры составления перечня объектов  КИИ без запроса дополнительной информации она не может. А запрашивать полномочий нет.
   Раз руководитель субъекта утвердил перечень, значит так и есть. Поверим на слово.
   Какие же типовые нарушения порядка категорирования нам показывает ФСТЭК:


 





    По сути, проверяется только полнота заполнения сведений и непротиворечивость их. Проверка правильности заполнения формы 236 приказа, а не порядка категорирования.

    Но это так, четверть беды. Рассмотрим вариант, когда субъект оформил акт, что ОКИИ не значимый и направил информацию об этом в ФСТЭК. А ФСТЭК не согласилась и вернула на исправление.
8. В случае, если ФСТЭК, выявлены нарушения порядка осуществления категорирования и (или) объекту КИИ, принадлежащему на праве собственности, аренды или ином законном основании субъекту КИИ, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом КИИ представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, ФСТЭК, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту КИИ с мотивированным обоснованием причин возврата.
   У субъекта не выбора:
9. Субъект КИИ после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в ФСТЭК.
   Вопрос, а что конкретно должен сделать субъект КИИ при получении такого отказа?
Ну вот указали ему, что нет оснований принимать решение об отсутствии необходимости присвоения ему одной из таких категорий и что дальше?
    Поясню.
    1. Есть комиссия, комиссия приняла решение "не значимый", оформлен и утвержден акт категорирования с этим решением.
    2. Есть ответственный работник, который из утвержденного акта перенес информацию в форму и дополнил ее остальными данными. Утвердил и направил.
    И вот приходит указание от ФСТЭК, что комиссия неправильно решение приняла. Какая дальше процедура? В ПП127 нет никаких указаний на этот счет. Вот про изменение перечня включили общее упоминание. А про пересмотр утвержденного акта категорирования только п.21 (раз в 5 лет и изменение показателей).
  Снова комиссию собирать? А какие правовые основания для этого? Ну ладно, руководитель дал команду и провели внеочередное заседание. Посмотрели на мотивированный отказ и не согласны с ним.Составляют акт, в котором оставляют решение прежним. Имеют полное право на это. Руководитель может утвердить его, а может не утверждать. Ничего не измениться, в организации будет утвержденный акт о "не значимом ОКИИ". Но вариантов то у субъекта КИИ не предусмотрено, через 10 дней в ФСТЭК должна уйти форма с присвоенной категорией. 
   И это еще полбеды.
   А теперь самая боль субъекта КИИ.
   Как выше описано, комиссия субъекта КИИ фактически обязана выполнить мотивированное указание ФСТЭК и присвоить категорию. Таким образом, до момента подтверждения ФСТЭК правильности принятого комиссией субъекта КИИ решения, процесс категорирования не закончен. Об этом же говорит и 187-ФЗ
Статья 7. Категорирование объектов критической информационной инфраструктуры
1. Категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

   Проверка сведений входит в категорирование. ФСТЭК, когда писала ПП127 внесла формулировку, не соответствующую 187-ФЗ
   "2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры." и вынесла проверку сведений за этот этап.
    Звучать данная позиция должна "Категорирование осуществляется субъектами... и ФСТЭК, в части проверки сведений".
    И акт категорирования должен утверждаться после проверки формы 236 приказа, а не на оборот. Либо эта форма сведений вообще не нужна, а на проверку должен направляться акт категорирования.Тогда ФСТЭК сможет и проверить факт создания комиссии и факт рассмотрения процессов с выявлением критических.
   И такое решение ФСТЭК создало еще проблему субъекту КИИ:
  Стандартно субъекты КИИ оперируют требованием п.15 из ПП127
"Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов)."
    Так в какой же момент считается, что ОКИИ присвоена категория значимости?
- В момент утверждения акта категорирования?
- После подтверждения правильности сведений о результатах категорирования?
- В момент внесения в Реестр ЗОКИИ (для ЗОКИИ), уведомления НКЦКИ о незначимости ОКИИ (для незначимых ОКИИ)?
   Как субъекту КИИ объяснить прокурору, что он не нарушитель, если прокурор будет требовать на основании ст.7 187-ФЗ "проверенное ФСТЭК решение субъекта КИИ об установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости"? И не признает прокурор просто утвержденный акт категорирования! И направленную утвержденную форму 236 приказа не признает. И ведь он будет прав. В любой момент может быть получено субъектом КИИ мотивированное указание на пересмотр этого акта, то есть процесс категорирования не закончен!



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

19 комментариев:

  1. Кого будет наказывать прокурор, если акт категорирования составлен и утверждён, форма из ПФ 236 заполнена и направлена (документально подтверждено, что ФСТЭК ее приняла), но, допустим, ответа не поступило вообще или в установленный срок? Т.е. я хочу сказать, что срок в год уже вышел (ну если считаем, что категорирование заканчивается с приходом ответа от ФСТЭК).

    Ну и да, чехарда с тем что надо составлять акт и заполнять форму представляется избыточной, и, как показывает практика, иногда до сих пор за акт категорирования принимают эту форму. Можно было установить форму акта и запрашивать только ее, например.

    ОтветитьУдалить
  2. Наказывать он будет того, к кому пришёл с проверкой. Центральный ФСТЭК вообще не на территории местных прокуратура для большинства субъектов кии

    ОтветитьУдалить
    Ответы
    1. Т.е. если у субъекта КИИ не будет ответа о ФСТЭК, что сведения проверены, то наказан будет субьект КИИ, а не ФОИВ, который обязан предоставить ответ в совершенно определённые сроки?

      Удалить
    2. Конечно. На каком основании районная прокуратура в приморье накажет фстэк в Москве? А, если ФСТЭК ответил вовремя, но письмо не дошло? Почту накажут?

      Удалить
  3. Избыточность это не удобство. А вот не урегулированность конфликта сторон и не возможность аппеляции к решению ФСТЭК - проблема. ФСТЭК прописала себе право указывать какой объект значимый, но не взяла на себя никакой ответственности за это. Окончательное решение оформил то субъект.

    ОтветитьУдалить
  4. К нам в организацию поступил запрос от Прокуратуры, в котором мы должны предоставить в том числе и обоснования принятия решений о присвоении категории или неприсвоении. С учетом того, что в плане каких-либо проверок Генпрокуратуры на 2020 год наша организация не значилась, попахивает произволом и опять давлением на бизнес

    ОтветитьУдалить
    Ответы
    1. Для прокуратуры внесение в план не требуется. Стандартная практика её работы

      Удалить
  5. Конечно предоставили всё или почти всё что запрашивали мы предоставили с грифом "Коммерческая тайна", хотя они в прокуратуре сами не понимают что запрашивают, сроки естественно сжатые. Теперь эта макулатура размером с 500 листов А4 будет валяться и пылиться у них

    ОтветитьУдалить
  6. Совсем не понял вот это: "Важно: в ПП127 направление сведений о результатах категорирования в ФСТЭК в процесс категорирования не включено!"
    Вот выдержка из Правил категорирования, утвержденных ПП127: "17. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:(далее идёт перечисление информации,которая предоставляется, и который вошел в состав утвержденной ФСТЭК России формы)"

    ОтветитьУдалить
    Ответы
    1. Смотрите п. 5. В нем приведён конечный перечень действий, входящих в процесс категорирования

      Удалить
    2. Т.е. пункт 17 выполнять не надо, т.к. есть пункт 5?

      Удалить
    3. Надо выполнять все пункты, но не все пункты относятся к категорированию.

      Удалить
  7. " И акт категорирования должен утверждаться после проверки формы 236 приказа, а не на оборот"

    Если нет акта - нет и категории. Она не присвоена, что подтверждается отсутствием акта. Откуда брать присвоенную категорию при направлении во ФСТЭК сведений? Из голов членов комиссии?
    Нет акта - нечего направлять во ФСТЭК.

    ОтветитьУдалить
    Ответы
    1. Из протокола заседания комиссии.

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
    3. Хм... А где написано про протокол? Может, вердикт? Или меморандум?
      Вы множите сущности без необходимости... Их и так хватает.

      Удалить
  8. А еще есть план заседания комиссий, повестка заседания комиссии (высылается членам комиссии перед заседанием), есть поручения ответственным работникам(не членам комиссии) на подготовку материалов к заседанию и т.д. И в состав комиссии входит секретарь комиссии, который фиксирует соблюдение повестки на заседании, учитывает высказанные позиции членами комиссии, оформляет протокол заседания (подписывается всеми участниками, не только членами комиссии, но и приглашенными экспертами). И только потом он оформит акт категорирования, который подпишут только члены комиссии передаст на утверждение руководителю организации. И вся эта процедура никак не описана в ПП127. Поскольку относится не процессу категорирования, а к процессу организации работы комиссии. любой комиссии.

    ОтветитьУдалить
  9. Так как называется юридически значимый документ, в котором указывается решение комиссии по присвоению объекту категории (или об отсутствии необходимости ее присвоения)? Протокол?

    ОтветитьУдалить
  10. Акт комиссии, утвержденный руководителем субъекта КИИ и подтвержденный ФСТЭК (по результатам рассмотрения формы уведомления о результатах рассмотрения по 236 Приказу)

    ОтветитьУдалить