понедельник, 17 января 2022 г.

ПП127 это подзаконный акт к 187-ФЗ?

 


   Вроде как ответ очевидный. Конечно это подзаконный акт, выпущенный Правительством РФ в соответствии с ст.6 187-ФЗ. Но, с другой стороны, возникает все больше вопросов к формулировкам в ПП127. За 4 года в ПП127 были ДВАЖДЫ внесены изменения, каждое из которых только увеличило сомнения в однозначном ответе. Все больше складывается впечатление, что пора ПП127 присвоить статус отдельного ФЗ.

   Поводы для сомнений:

   1. Закон определяет субъекта КИИ в ст.2 187-ФЗ через сферы функционирования объектов КИИ, но не видов экономической деятельности организации. Нет никаких упоминаний про полномочия, нет приравнивания областей деятельности с сферами функционирования. Определение объектов КИИ в законе дается однозначно и не содержит исключений.

  А в п.3 ПП127 появляются "в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры."

   Затем вносятся первые изменения от 13.04.2019 № 452 "в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

  2. Закон определяет в ст.7 187-ФЗ, что категорированию подлежат ВСЕ объекты КИИ и никаких исключений для этой процедуры не предусматривает. Никаких упоминаний про "объекты КИИ, не подлежащих категорированию".  Нет никаких упоминаний про процессы субъекта КИИ. Предусмотрены исключительно две сущности для ОКИИ:

- которым присвоена одна из категорий значимости;

- по которым принято решение  об отсутствии необходимости присвоения ему одной из таких категорий.

  В ПП127 появляются "выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов" и опять привязка в видам экономической деятельности субъекта КИИ.

 Появляется Перечень объектов КИИ, подлежащих категорированию.  В который видимо надо включать только часть объектов КИИ, которые "обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов".

  Комиссия субъекта КИИ "оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей". То есть, не все ИС/АСУ/ИТКС субъекта КИИ являются объектами КИИ?

  3. Закон определяет субъекта КИИ в ст.2 187-ФЗ через "право собственности, аренды или на ином законном основании". Никакой совокупной собственности на объект КИИ не предусмотрено. То есть, речь идет о существующем материальном объекте - ИС/АСУ/ИТКС. В ст.7 187-ФЗ прямо указано, что ПП127 выполняют исключительно при категорировании субъекты КИИ.

    ПП127 предусмотрены действия по категорированию для создаваемых объектов КИИ. Они еще не существуют и права собственности на них отсутствует. Более того, категорирование создаваемых объектов КИИ обязаны провести "заказчиком, техническим заказчиком или застройщиком", которые вовсе могут не быть субъектами КИИ  и никаких обязанностей выполнять 187-ФЗ у них нет. 

   Через ПП452 в  ПП127 ввели  случай совместной собственности на ИС/АСУ/ИТКС :

"Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями".

  4. Закон однозначно определяет в ст.6 187-ФЗ полномочия Президента РФ и органов власти. Перечень органов власти и их полномочий конечный. Предусмотрены конкретные полномочия для Президента, Правительства, ФСБ, ФСТЭК, Минцифры. Обязанность по "проверке соблюдение порядка осуществления категорирования" возложена на единственный орган власти в ст.7 187-ФЗ (это дополнительно к госконтролю по ст.13 187-ФЗ).

   Через ПП 2431 в ПП127 появились обязанности по мониторингу для неопределенного перечня организаций  "Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности". В ст.6 187-ФЗ нет никаких упоминаний про такие организации, соответственно закон не установил для них никаких обязанностей.

    Более того, принятым 141-ФЗ введена административная ответственность "за нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий". И правом применять эту статью КоАП имеет только единственный орган власти. Но выявлять такие правонарушения предлагается организациям, которые не упомянуты ни в 187-ФЗ, ни в 141-ФЗ, ни в соответствующих ФЗ (устанавливающие полномочия неопределенного перечня органов власти и юрлиц)

"При выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений государственные органы и российские юридические лица, указанные в абзаце первом настоящего пункта, направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях."

В 187-ФЗ указана обязанность направлять информацию этапу категорирования только в ФСТЭК. Обязанности сообщать информацию о сроках представления, актуальности и достоверности сведений неопределенному перечню организаций на субъектов КИИ законом не возложено.

5. Закон однозначно определил конечный состав процедуры категорирования в ст.7 187-ФЗ.
"Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения". После получения подтверждения от ФСТЭК о соблюдении порядка категорирования и правильности принятого субъектом КИИ решения процедура категорирования закончена. Порядок категорирования (ПП127) применяется субъектом КИИ исключительно при выполнении ст.7 187-ФЗ и не должен применятся после окончания категорирования.  В ст.9 содержится конечный перечень обязанностей субъекта КИИ. Нет никакого упоминания об обязанности субъекта КИИ актуализировать ранее поданные сведения после завершения категорирования.
 Через ПП 2431 в ПП127 появились обязанности субъекта КИИ "В случае изменения сведений, указанных в подпунктах "а" - "е" пункта 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 настоящих Правил."
6. В законе предусмотрено ст.7 пересмотр категории значимости исключительно для Значимых объектов КИИ:
"Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях: в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости."
Пересмотр решения об отсутствии необходимости присвоения категории значимости законом не предусмотрен!
Согласно ПП127 первоначально так и было:
"Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры."
В 2019 через Постановления Правительства РФ от 13.04.2019 № 452 появились уточнения:
"Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры."
Появилась обязанность субъекта КИИ пересматривать каждые 5 лет решение в отношении Незначимых ОКИИ! В законе такого не предусмотрено.
Согласно 187-ФЗ и ПП127 второй редакции (изм. ПП452) субъект КИИ с Незначимыми объектами КИИ после получения подтверждения от ФСТЭК о направлении информации в отношении НОКИИ в НКЦКИ не имел далее никаких отношений с ФСТЭК. Пересмотр раз в 5 лет решения о незначимости, если решение оставалось в силе - очередные 5 лет. Никаких сведений направлять в ФСТЭК не требовалось.
Для ЗОКИИ законом дополнительно было установлена отдельная внеплановая процедура пересмотра результатов категорирования. Но направлять сведения в ФСТЭК опять же требовалось только при изменении категории значимости.

Проект ПП 2431 вносился в Правительство исключительно в отношении ЗОКИИ!
Из пояснительной записки к проекту:
"В целях обеспечения актуальности и достоверности представляемых в ФСТЭК России сведений о значимых объектах критической информационной инфраструктуры предлагается проектом постановления Правительства Российской Федерации: 
предусмотреть норму о направлении в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, уточненных сведений о значимом объекте критической информационной инфраструктуры в случае их изменения."
В проекте ПП это выглядело так:
"19.1. В случае изменения сведений о значимом объекте критической информационной инфраструктуры, указанных                   в подпунктах «а», «б», «в», «г», «д», «е»  пункта 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения не позднее               20 рабочих дней со дня их изменения в печатном и электронном виде по форме, указанной в пункте 18 настоящих Правил".
 
Но принят и вступил в силу другой текст ПП2431 и обязанность направлять информацию в случаях изменений сведений распространили на всех субъектов КИИ! 
Этого не было ни в первой версии проекта, ни в версии, доработанной по этапам общественного обсуждения.

"В случае изменения сведений, указанных в подпунктах "а" - "е" пункта 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 настоящих Правил."

7. Законом предусмотрено в ст.8 187-ФЗ ведение только одного реестра - реестра ЗОКИИ. Определен конечный перечень сведений, включаемых в Реестр ЗОКИИ. Нет никаких упоминаний про реестр субъектов КИИ или реестр НОКИИ. 
ПП2431 предусматривает направление актуализированных сведений по п.е "сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз", но в ст.8 187-ФЗ такая информация вообще не включается в Реестр ЗОКИИ.
В каких реестрах актуализируется информация о НОКИИ? Кто их ведет и на каком основании? Законом они не предусмотрены.

P.S. Шпаргалка по выполнению требования об актуализации сведений - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9

Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий