Логичным следствием попытки внесения изменений в ПП127 ( https://valerykomarov.blogspot.com/2021/07/127.htm, https://valerykomarov.blogspot.com/2021/07/127_29.html ) стала публикация проекта приказа ФСТЭК "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" https://regulation.gov.ru/Projects/List#npa=118599
Общественное обсуждение до 12 августа 2021 года. Направляем свои замечания и предложения, пока есть возможность.
Отмечу положительные изменения в процедуре – адреса основной
и дополнительной электронной почты для направления замечаний теперь
различаются.
ФСТЭК проанализировала свой опыт ведения Реестра ЗОКИИ –
«разработан по результатам мониторинга правоприменения Порядка ведения реестра значимых
объектов критической информационной инфраструктуры Российской Федерации,
утвержденного приказом Федеральной службы по техническому и экспортному
контролю от 6 декабря 2017 г. № 227»
Первые ЗОКИИ появились уже в 2018 году, так что опыт
накоплен многолетний и достаточный у ФСТЭК.
Цели внесения изменений тоже вопросов не вызывают:
Заявленная цель изменений – «обеспечение актуальности и
достоверности сведений, содержащихся в реестре ЗОКИИ, а также на повышение
удобства ведения этого реестра.»
Но вот реализация странная.
Предлагают внести изменения в п.6 Приказа и разделить ТЭК и
Энергетику. С точки зрения 187-ФЗ: это правильно, так как в ст.2 они указаны
как разные сферы функционирования объектов КИИ.
Повлияют эти изменения лишь на кодировку регистрационного
номера в Реестре. На достоверность сведений не влияет, но возможно повысит
удобство использования Реестра. Для нас больше критично понять: где проходит
граница между «Энергетика» и «ТЭК», но это уже выходит за рамки приказа 227.
Следующий пункт изменений более значительный и направленный
на обеспечение достоверности информации в Реестре ЗОКИИ. А как же удобство?
«8. В случае изменения сведений о лицах, эксплуатирующих
значимые объекты критической информационной инфраструктуры, о программных и
программно-аппаратных средствах, используемых на значимых объектах критической
информационной инфраструктуры, в том числе средствах, используемых для
обеспечения безопасности значимых объектов критической информационной
инфраструктуры и их сертификатах соответствия требованиям по безопасности
информации (при наличии), а также об угрозах безопасности информации и о
категориях нарушителей в отношении значимых объектов критической информационной
инфраструктуры либо об отсутствии таких угроз субъекты критической информационной
инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее
10 рабочих дней со дня их изменения на бумажном и электронном носителях.».
И вот здесь непонятно, а причем здесь приказ о ведение
Реестра?
Перечень сведений, обрабатываемых в Реестре ЗОКИИ установлен
ст.8 187-ФЗ. В него никаких изменений не вносится. Каким образом мы повышаем
достоверность сведений, которых в Реестре ЗОКИИ просто нет?
Почему не важна достоверность сведений из Реестра ЗОКИИ «а»,
«б», «д», «ж»?
Запрос актуализированных сведений о ЗОКИИ, не входящих в
Реестр ЗОКИИ целесообразнее прописывать в 235 приказ ФСТЭК, как одну из функций
подразделения безопасности.
Далее, а в каком формате должен субъект КИИ эти сведения
направлять? Почему не учитывается опыт по 236 Приказу и форме Перечня объектов
КИИ, подлежащих категорированию? Потом опять будут вносить изменения что
принимаем только в .otd
или .jts? Что мешает
сразу прописать «измененные сведения направляются с выполнением требований 236
приказа? Где реализация заявленной цели – удобство ведения Реестра ЗОКИИ?
И самое интересное изменение в приказ 227:
в абзаце втором пункта 12 слова «по их запросам только в
части значимых объектов критической информационной инфраструктуры,
функционирующих в сферах» заменить словами «ежеквартально, либо по их запросам
только в части субъектов критической информационной инфраструктуры, выполняющих
функции (полномочия) или осуществляющих деятельность в областях (сферах)».
Заменим и прочитай целиком пункт:
Сведения из Реестра могут предоставляться государственным
органам или российским юридическим лицам, выполняющим функции по разработке,
проведению или реализации государственной политики и (или) нормативно-правовому
регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального
закона "О безопасности критической информационной инфраструктуры
Российской Федерации" ежеквартально, либо по их запросам только в части
субъектов критической информационной инфраструктуры, выполняющих функции
(полномочия) или осуществляющих деятельность в областях (сферах), отнесенных в
компетенции этих государственных органов или российских юридических лиц.
Отлично получилось, но нет.
Видим замену «объект, функционирующий в сферах КИИ» на
«субъект, осуществляющий деятельность в регулируемой сфере». И это
принципиально различается.
Согласно ст.8 187-ФЗ Реестр ЗОКИИ ведется с целью учета
ЗОКИИ, а не субъектов КИИ. Реестр ЗОКИИ не содержит информации о сфере
деятельности субъекта КИИ. В форме, утвержденной Приказом ФСТЭК России от
22.12.2017 № 236 "Об утверждении формы направления сведений о результатах
присвоения объекту критической информационной инфраструктуры одной из категорий
значимости либо об отсутствии необходимости присвоения ему одной из таких
категорий", такая информация не запрашивается и не предоставляется
субъектом КИИ в ФСТЭК России.
Видимо группировка сведений на запрос органа власти будет по
п. «б» Реестра - наименование субъекта КИИ, а запрашивающий орган власти будет как
то доказывать ФСТЭК, что интересующий его субъект КИИ относится к его «зоне
ответственности».
Еще, а что означает формулировка приказа «Сведения из
Реестра могут предоставляться государственным органам … ежеквартально»?
Вот первый абзац из этого же пункта действующей редакции:
Сведения из Реестра не реже чем один раз в месяц
направляются в государственную систему обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы Российской Федерации в
соответствии со статьей 5 Федерального закона "О безопасности критической
информационной инфраструктуры Российской Федерации"
Никто же не стал писать «сведения в ГосСОПКУ могут
направляться ежемесячно».
Если уж прописываете конкретную периодичность предоставления
информации, то значит она обязательная. ФСТЭК ежеквартально направляет в органы
власти,…., сведения обо всех ЗОКИИ всех субъектов КИИ, осуществляющих
деятельность в регулируемых сферах.
Не раскрыт в приказе и формат предоставления таких сведений. В п.2 Приказа 227 прямо указано, что информация предоставляется в бумажном и электронном виде. У нас ведь выписки из Реестра будут с грифом ГТ идти?
* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.
** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Комментариев нет:
Отправить комментарий