Проверка результатов категорирования ОКИИ

     

    Прокурорские запросы, с требованием отчитаться за выполнение категорирования, заставили задуматься над вопросом, а как ФСТЭК проверяет правильность действий субъекта КИИ по категорированию и сколько времени отведено субъекту КИИ на формирование и утверждение акта категорирования.

     
      187-ФЗ. Ст.7
 "6. ФСТЭК, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту КИИ одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.".
    Порядок осуществления категорирования установлен ПП127, включает:
5. Категорирование включает в себя:
а) определение процессов;
б) выявление критические процессы;
в) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию;
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
е) присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
    Важно: в ПП127 направление сведений о результатах категорирования в ФСТЭК в процесс категорирования не включено!

  Заниматься всем этим должна комиссия субъекта КИИ
14. Комиссия по категорированию в ходе своей работы:
а) определяет процессы;
б) выявляет наличие критических процессов у субъекта КИИ;
в) выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов;
г) рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектахКИИ;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;
ж) устанавливает каждому из объектов КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

   Итог: в порядок категорирования входит: создание комиссии, составление перечня, присвоение категории, формирование акта категорирования.
Действия комиссии четко прописаны, все решения оформляются актом. В акте указываются только общие сведения об ОКИИ и конечный результат присвоения категории. Перечень объектов КИИ и сведения о результатах категорирования оформляются субъектом, а не комиссией.
     Все то же самое мы видим в презентациях ФСТЭК

   Какая информация доступна ФСТЭК для проверки соблюдения порядка категорирования:
1. Создание комиссии? Нет, не имеет никакой информации ФСТЭК об этом.
2. Выявлялись ли процессы? Нет, такая информация не поступает.
3. Выявлялись ли критические процессы? Нет, такая информация не поступает.
4. Выявлялись ли ОКИИ, которые участвуют в критических процессах? Нет, такая информация не поступает.
5. Составление и утверждение Перечня? Да. Может проверить.
6. Действия нарушителя и угрозы? Да. Может проверить.
7. Оценку масштаба? Да. Может проверить.
8. Присвоение категории? Да. Может проверить.

  Таким образом, ФСТЭК не имеет никакой информации о том, кто и как составил Перечень ОКИИ. Проверить исполнения субъектом КИИ процедуры составления перечня объектов  КИИ без запроса дополнительной информации она не может. А запрашивать полномочий нет.
   Раз руководитель субъекта утвердил перечень, значит так и есть. Поверим на слово.
   Какие же типовые нарушения порядка категорирования нам показывает ФСТЭК:

 

    По сути, проверяется только полнота заполнения сведений и непротиворечивость их. Проверка правильности заполнения формы 236 приказа, а не порядка категорирования.

    Но это так, четверть беды. Рассмотрим вариант, когда субъект оформил акт, что ОКИИ не значимый и направил информацию об этом в ФСТЭК. А ФСТЭК не согласилась и вернула на исправление.
8. В случае, если ФСТЭК, выявлены нарушения порядка осуществления категорирования и (или) объекту КИИ, принадлежащему на праве собственности, аренды или ином законном основании субъекту КИИ, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом КИИ представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, ФСТЭК, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту КИИ с мотивированным обоснованием причин возврата.
   У субъекта не выбора:
9. Субъект КИИ после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в ФСТЭК.
   Вопрос, а что конкретно должен сделать субъект КИИ при получении такого отказа?
Ну вот указали ему, что нет оснований принимать решение об отсутствии необходимости присвоения ему одной из таких категорий и что дальше?
    Поясню.
    1. Есть комиссия, комиссия приняла решение "не значимый", оформлен и утвержден акт категорирования с этим решением.
    2. Есть ответственный работник, который из утвержденного акта перенес информацию в форму и дополнил ее остальными данными. Утвердил и направил.
    И вот приходит указание от ФСТЭК, что комиссия неправильно решение приняла. Какая дальше процедура? В ПП127 нет никаких указаний на этот счет. Вот про изменение перечня включили общее упоминание. А про пересмотр утвержденного акта категорирования только п.21 (раз в 5 лет и изменение показателей).
  Снова комиссию собирать? А какие правовые основания для этого? Ну ладно, руководитель дал команду и провели внеочередное заседание. Посмотрели на мотивированный отказ и не согласны с ним.Составляют акт, в котором оставляют решение прежним. Имеют полное право на это. Руководитель может утвердить его, а может не утверждать. Ничего не измениться, в организации будет утвержденный акт о "не значимом ОКИИ". Но вариантов то у субъекта КИИ не предусмотрено, через 10 дней в ФСТЭК должна уйти форма с присвоенной категорией. 

   И это еще полбеды.

   А теперь самая боль субъекта КИИ.
   Как выше описано, комиссия субъекта КИИ фактически обязана выполнить мотивированное указание ФСТЭК и присвоить категорию. Таким образом, до момента подтверждения ФСТЭК правильности принятого комиссией субъекта КИИ решения, процесс категорирования не закончен. Об этом же говорит и 187-ФЗ
Статья 7. Категорирование объектов критической информационной инфраструктуры
1. Категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

   Проверка сведений входит в категорирование. ФСТЭК, когда писала ПП127 внесла формулировку, не соответствующую 187-ФЗ
   "2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры." и вынесла проверку сведений за этот этап.
    Звучать данная позиция должна "Категорирование осуществляется субъектами... и ФСТЭК, в части проверки сведений".
    И акт категорирования должен утверждаться после проверки формы 236 приказа, а не на оборот. Либо эта форма сведений вообще не нужна, а на проверку должен направляться акт категорирования.Тогда ФСТЭК сможет и проверить факт создания комиссии и факт рассмотрения процессов с выявлением критических.
   И такое решение ФСТЭК создало еще проблему субъекту КИИ:
  Стандартно субъекты КИИ оперируют требованием п.15 из ПП127
"Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов)."
    Так в какой же момент считается, что ОКИИ присвоена категория значимости?
- В момент утверждения акта категорирования?
- После подтверждения правильности сведений о результатах категорирования?
- В момент внесения в Реестр ЗОКИИ (для ЗОКИИ), уведомления НКЦКИ о незначимости ОКИИ (для незначимых ОКИИ)?

   Как субъекту КИИ объяснить прокурору, что он не нарушитель, если прокурор будет требовать на основании ст.7 187-ФЗ "проверенное ФСТЭК решение субъекта КИИ об установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости"? И не признает прокурор просто утвержденный акт категорирования! И направленную утвержденную форму 236 приказа не признает. И ведь он будет прав. В любой момент может быть получено субъектом КИИ мотивированное указание на пересмотр этого акта, то есть процесс категорирования не закончен!

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite