понедельник, 1 ноября 2021 г.

Итог этапа общественного обсуждения изменений в ПП127

 


    ФСТЭК обновила проект изменений ПП127 на https://regulation.gov.ru/projects#npa=118306. По результатам этапа общественного обсуждения. Посмотрим какие замечания поступили и как отреагировала ФСТЭК на них. Первую версию разбирал  - https://valerykomarov.blogspot.com/2021/07/127_29.html

  Теперь делегирование функций ФСТЭК по контролю выполнения субъектами КИИ категорирования ОКИИ выглядит так - "Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществляют ведомственный и (или) отраслевой мониторинг и контроль соблюдения сроков представления, актуальности и достоверности сведений, указанных в подпунктах «а», «б», «в», «г», «д», «е» пункта 17 настоящих Правил. 

    Мониторинг осуществляется регулярно, путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в подпунктах «а», «б», «в», «г», «д», «е» пункта 17 настоящих Правил. 

    При выявлении по результатам мониторинга нарушения сроков работ по категорированию, предоставления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений, государственные органы и российские юридические лица в пределах компетенции направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в субъектах критической информационной инфраструктуры.»." 

   Замысел ФСТЭК прокомментировал по моей просьбе Лютиков В.С. на одной из конференций



   Вопросы:

1. в ПП127 есть "19. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"." То есть, проверка сведений от субъектов КИИ это зона ответственности ФСТЭК и никого более, причем порядок проверки сведений указан в 187-ФЗ, а не ПП127. Понятно что ФСТЭК "играет" словами и отраслевые ФОИВ проводят не проверку сведений, а оценку. Но даже такая ситуация требует внесения изменений в порядок проверки сведений в 187-ФЗ. А этого нет.

2. Появляется обязанность у отраслевых ФОИВ запрашивать информацию, но отсутствует обязанность у субъектов КИИ предоставлять эту информацию в ФОИВ. Согласно 187-ФЗ субъект КИИ обязан направлять сведения о результатах категорирования исключительно в ФСТЭК. Особенно на фоне ответа авторов проекта "Административная ответственность за нарушение сроков ответов на запросы государственных органов и юридических лиц, направляемых в ходе мониторинга, не предусмотрена."

3. Каким образом отраслевые ФОИВ узнают кого запрашивать? Откуда им узнать кто является субъектом КИИ? Надо прописывать обязанность ФСТЭК направлять информацию об организациях в регулируемых сферах, подавших перечни объектов КИИ, подлежавших категорированию.

4. Другой организационный момент. А отраслевые ФОИВ должны мониторить деятельность субъекта КИИ до момента отправки им сведений в ФСТЭК или вообще всегда и всех? Должен ли отраслевой ФОИВ мониторить после подтверждения от ФСТЭК,  что результаты категорирования проверены и подтверждены?

5. Что с разделением зон ответственности между федеральными и региональными органами власти? Каждый случай в ручную будет разруливаться?

6. Как ФСТЭК взаимодействуют в обратную сторону с отраслевыми органами? Будет ли ФСТЭК проверять выполнение указанных требований отраслевыми органами? А если сам отраслевой ФОИВ субъект КИИ, то кто его "мониторит"?

7. Каким образом отраслевые органы должны проверить достоверность в части использованных на объектах КИИ программ и ПА? Это выездные проверки или документальные должны быть?

 8. Субъект КИИ теперь должен дождаться подтверждения достоверности и актуальности от отраслевого ФОИВ и только потом направлять сведения в ФСТЭК? Что будет делать ФСТЭК при получении сигнала от отраслевого ФОИВ, что сведения от субъекта КИИ не актуальны или не достоверны? Штраф выписывать субъекту КИИ по КоАП?

 9. Возвращаемся к старому спору. Всегда ли сфера объектов КИИ совпадает с видами экономической деятельности субъектов КИИ? Кто будет координировать работу ФОИВ по субъектам КИИ, которые владеют ОКИИ в разных сферах? Зачем это избыточное дублирование переписки разных ФОИВ с одной организацией.

   И это вопросы только по реализации процессов, заложенных в проект изменений. Если это уровень Постановления Правительства, то очень странно, что они никак не описаны. Координация задействованных органов власти вообще не предусмотрена. Выглядит как попытка "размыть" ответственность за показатели реализации этапа категорирования. Если читать предложенное буквально, то ФСТЭК предлагает использовать отраслевые органы власти как делопроизводителей - написали письма, получили. О тех кто не ответил в срок - сообщили в ФСТЭК. Контроля за всем этим никакого не предусмотрено. И как это должно заработать?

  Если уж такая проблема возникла с достоверностью, то давайте менять саму процедуру категорирования: указываем перечень отраслевых ФОИВ по каждой из 13 сфер, субъекты КИИ сначала направляют в них перечни ОКИИ, потом сведения о результатах категорирования. После подтверждения от ФОИВ, субъект КИИ направляет в ФСТЭК. Либо ФСТЭК все полученные сведения перенаправляет в ФОИВы и рассматривает только после получения подтверждения от них, но все равно надо сроки менять.

   Момент с внесением новых обязанностей на ФОИВ через подзаконный акт, без внесения соответствующих изменений в 187-ФЗ оставляет в глубоком недоумении.

  Есть Статья 6. "Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры", в которую необходимо вносить эти изменения в обязанности органов власти. Надо вносить обязанности субъектов КИИ отвечать на запросы отраслевых ФОИВ в Статью 9. "Права и обязанности субъектов критической информационной инфраструктуры". Необходимо менять Статью 7. "Категорирование объектов критической информационной инфраструктуры" и вносить именно в нее изменения порядка контроля за выполнением с учетом проектного мониторинга за категорированием объектов КИИ. Предусматривать разработку регламентов взаимодействия и т.д.

   Результат общественного обсуждения доступны по ссылке https://regulation.gov.ru/projects#npa=118306

Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий