Динамика Категорирования по 187-ФЗ

4 мин на чтение

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

В рамках вебинара “Субъекты и объекты КИИ” уже приводил доступную на тот момент официальную статистику по числу субъектов, подавших Перечни своих объектов критической информационной инфраструктуры (КИИ), подлежащих категорированию, и общего числа объектов в этих Перечнях:

2018-09 05 Статистика ФСТЭК
2018-09 20 Статистика ФСТЭК
2018-09 Динамика статистики ФСТЭК

В этом году состоялось ещё два официальных объявления промежуточных статистических итогов.

Виталий Сергеевич Лютиков 31 января 2019 года поделился такими данными:

В настоящее время более 1800 субъектов КИИ […] определили объекты КИИ и осуществляют их категорирование […] Буквально на октябрь-ноябрь эта цифра составляла всего 700 субъектов.

Более 27 000 объектов сейчас проходит оценку своей значимости на различных этапах. 

Если брать приблизительные оценки, сколько всего субъектов и объектов […] , то в настоящий момент мы считаем, что около 15% находятся в такой наиболее активной стадии.

А 13 февраля 2019 года Елена Торбенко продемонстрировала такой слайд:

2019-02 13 Статистика ФСТЭК (фото Валерий Коржов)

Судя по всему, выше в цитате Виталия Сергеевича следует читать 1080 вместо 1800, тогда картинка получается следующая:

Таблица с расчётами динамики статистики

Синим выделена предполагаемая корректировка, курсивом - ориентировочные цифры, красным - то, что можно рассчитать на основе имеющихся данных.

7 200 - это предполагаемое общее число субъектов КИИ по оценке ФСТЭК. Справедливости ради отмечу, что если считать в цитате 15% относящимися всё же к 1800 субъектам, то всего субъектов получается около 12 000, что ещё хуже. И вот почему.

В последней строчке таблицы указана дата 07 июня 2019 года - это пять рабочих дней с предлагаемой корректировкой в ПП-127 даты (01.06.2019), когда всем субъектам КИИ необходимо будет утвердить свои Перечни объектов:

Перечень объектов в течение 5 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. (ПП-127)

Получается, что если ПП-127 будет изменено согласно текущему проекту, то оставшиеся почти 85% субъектов должны будут за три с небольшим месяца (на которые к тому же приходится ещё и не один праздничный день) оперативно утвердить свои Перечни и направить их во ФСТЭК.

Наглядно малую вероятность успешности такого сценария можно представить на графике зависимости числа субъектов, подавших свои Перечни, от даты.

Субъекты КИИ (динамика и прогноз)

Собственно, на графике до середины февраля представлена динамика, а после - прогноз. График с крайней верхней точкой в 12 000 субъектов даже и рисовать не стал.

Несложные расчёты показывают, что даже если субъекты КИИ с завтрашнего дня начнут присылать Перечни в три раза активнее, чем они это делают сейчас, то реальная дата завершения сбора Перечней - что-то вроде середины марта следующего года.

Пост для краткости назван “Динамика Категорирования”, поэтому стоит обратить внимание на то, что скорее всего график для второго этапа взаимодействия с регулятором (отправка Сведений по итогам Категорирования) будет почти точной копией графика отправки Перечней, но со сдвигом на год:

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. (ПП-127)

Не так много найдётся желающих отправить результаты Категорирования раньше, чем это разрешено законодательно. Сейчас Сведения поданы для 2 000 объектов, что составляет чуть больше 7% от 27 000 - общего числа объектов в отправленных Перечнях.

Поэтому справедливо ожидать, что любое спровоцированное ускорение процесса подачи Перечней неизбежно приведёт к всплеску направляемых Сведений примерно через год.

Это важно, так как ФСТЭК можно Перечни просто принять к информации, а вот Сведения нужно проверить за 30 дней на правильность и в 10-дневный срок уведомить субъекта о результатах. При этом все замечания надо обосновать:

В случае, если [ФСТЭК] выявлены нарушения порядка осуществления категорирования и (или) объекту КИИ, принадлежащему на праве собственности, аренды или ином законном основании субъекту КИИ, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом КИИ представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, [ФСТЭК] в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата. (п.8 ст.7 187-ФЗ)

Впрочем, коллеги во ФСТЭК наверняка это всё прекрасно понимают и, думаю, готовятся (хотя бы морально).

Ну, а в наших с вами (тех, кто выполняет Категорирование, и тех, кто в этом помогает) силах помочь сотрудникам ФСТЭК, сразу готовя качественные документы, к которым ни у кого никаких вопросов не будет.

Здесь могла бы быть реклама курсов или консалтинговых услуг в части проведения Категорирования, но её не будет =)

--- === @zlonov === ---
--- === @zlonov === ---

Комментарии из Telegram

Комментарии ВКонтакте

Вам также может понравиться

Лучшие доклады ИБ АСУ ТП КВО 2024

3 мин на чтение

Результаты голосования участников конференции Информационная безопасность АСУ ТП критически важных объектов.