В первый год действия 187-ФЗ было много споров по определению критерия об отнесения организации к субъектам КИИ. Был достигнут общественный консенсус, что без объектов КИИ субъекта КИИ не бывает. Но развитие нормативной базы (подзаконных актов к 187-ФЗ) приводит к противоречию с таким решением. Формально по определению 187-ФЗ, организация еще не субъект КИИ, но ПП127 и приказы ФСТЭК уже требуют от нее выполнение определенных обязанностей как субъекта КИИ.
187-ФЗ однозначно определяет субъект КИИ через "право собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере.."
Право собственности у нас определяется через Гражданский кодекс.
ФСТЭК разъясняло аналогично
Проблема в том, что по ГК все эти положения применяются исключительно к уже существующим объектам. Если я пишу ТЗ на создание ИС, то право собственности на ИС у меня возникнет только после передачи от исполнителя результата работы.
Или другими словами, пока ИС не введена в эксплуатацию, она не является предметом собственности. Ее нет как материального объекта и предмета собственности или владения.
Если у меня нет действующих ОКИИ, то я не являюсь субъектом КИИ до момента ввода в эксплуатацию вновь создаваемого ОКИИ. Почему я обязан выполнять ПП127 и приказы ФСТЭК в части вновь создаваемых ОКИИ, если я не субъект КИИ?
Ст.7 187-ФЗ прямо указывает, что "Субъекты КИИ в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам КИИ."
Вопрос: у меня нет еще ОКИИ на праве собственности (он только создается), почему я обязан выполнять требование п.8 ПП127 для вновь создааемых ОКИИ? Это противоречит ст.7 187-ФЗ.
Собственно, это противоречит даже п.3 самого ПП127 "Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Создаваемый ОКИИ еще ничего не обеспечивает!
ПП127 вообще очень противоречивый документ в части своих требований. П.8 требует определить категорию значимости на этапе формирования технических требований к созданию ОКИИ, но при этом непонятно кем и по какой процедуре, видимо подразумевается, что по аналогии с существующими ОКИИ.
Но в Перечень ОКИИ, подлежащих категорированию вновь создаваемый ОКИИ не включается - это просто бессмысленно, он УЖЕ прокатегорирован ДО своего физического появления.
Как оформлять акт категорирования на вновь создаваемый ОКИИ непонятно, так как кроме присвоенной категории значимости в него написать нечего, а п.16 ПП127 требует большего.
Зато появляется обязанность передачи сведений в ФСТЭК по п. 18.ПП127.
По такой логике НПА получается, что ФСТЭК включает в Реестр ЗОКИИ еще не существующий в реальности объект? Организация на стадии ТЗ на СОЗДАНИЕ информационной системы провела классификацию - определила что это будет ОКИИ, провела категорирование - присвоила категорию, направила в ФСТЭК после утверждения ТЗ, ФСТЭК проверила правильность присвоения категории - включила в Реестр ЗОКИИ. Ведь пока ОКИИ не включен в Реестр, он не считается значимым и применение никаких приказов ФСБ/ФСТЭК в отношении него нельзя требовать? Но ведь его еще нет как материального объекта. Как он может принадлежать на законном основании субъекту КИИ? Объект еще даже не спроектировали. На него только требования к созданию утвердили.
Прикольно. Субъекта КИИ нет, так как ему еще ничего не принадлежит на законном основании, ЗООКИИ физически еще нет, а в реестре ФСТЭК они уже есть. Как то это противоречит п.2 Приказа ФСТЭК России от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации". Интересно, а ФСТЭК будет информировать НКЦКИ по таким мертвым душам несуществующим ЗОКИИ? П.12 этого приказа обязывает и не содержит исключений.
И как будут выполнять такие недосубъекты КИИ приказы ФСБ для ЗОКИИ, да и должны ли? В них есть примечательные указания типа "в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации.."
Грустно, что ФСТЭК не учитывает и не использует опыт, накопленный по регулированию защиты ГИС. Ведь к моменту издания 187-ФЗ 2017 году уже пришлось выпускать в 2015 году отдельное ПП676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", в которых регулировалась проблема защиты информации на стадии создании объекта защиты, при наличии действующего приказа №17.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий