Верхнее

Часы и песок

Категорирование КИИ: не спеши, но поторапливайся!

Постановлением Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в его первоначальной редакции (когда это ещё был только законопроект), предусматривалось два срока:

  1. Полгода с момента вступления Постановления в силу отводилось на составления перечня объектов КИИ, подлежащих категорированию (Перечня);
  2. Один год с момента утверждения Перечня — непосредственно на само категорирование.

В итоговом принятом варианте остался только второй срок. Таким образом, несмотря на то, что обязанность по категорированию объектов КИИ установлена самим федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», формально конкретный срок для проведения категорирования сейчас законодательно не утверждён.

Тем не менее, уже не первый раз всплывает информация, что те или иные государственные органы рассылают письма с напоминанием о необходимости составления Перечня. Так, например, участник тематического Telegram-чата КИИ 187-ФЗ выложил фото письма из ФСТЭК, полученного по его информации одной частной организацией Нижнего Новгорода (в сфере оборонной промышленности), ровно с таким содержанием и с дополнительными рекомендациями по формированию самого Перечня. Привожу с разрешения коллеги (Андрей, спасибо!):

Письмо ФСТЭК стр 1

В ходе своего выступления на конференции ИБ АСУ ТП КВО Виталий Лютиков ещё в феврале пояснил, что действительно срок не определён, но будут действовать по ситуации: если никто добровольно не начнёт делать Перечни, то рассмотрят вопрос с принудительным введением конкретного срока, ещё и административные меры за несоблюдение предложат ввести: https://www.youtube.com/watch?v=WlVWGMZErHg&feature=youtu.be&t=21m49s

В целом, понятно, что рано или поздно составить Перечень придётся и каждый субъект КИИ самостоятельно решает, насколько он готов эту работу отсрочить. Однако, хотелось бы обратить внимание на один важный момент, чтобы это решение было более продуманным.

Дело в том, что, как уже отметил выше, после утверждения Перечня на проведение категорирования будет ровно год:

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов. (ст.15, ПП 127)

В принципе, этого срока для самого категорирования достаточно (если, конечно, не принимать в расчёт длительность бюджетного планирования и продолжительность конкурсных процедур для случаев, когда к работам привлекаются внешние подрядчики), но нюанс в том, что после завершения категорирования нужно в акте и в сведениях, направляемых во ФСТЭК, указать принятые для обеспечения безопасности меры:

Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте КИИ, результаты анализа угроз безопасности информации объекта КИИ, реализованные меры по обеспечению безопасности объекта КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ. (ст.16, ПП 127)

 

Субъект КИИ в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:
      а) сведения об объекте КИИ;
      б) сведения о субъекте КИИ, которому на праве собственности, аренды или ином законном основании принадлежит объект КИИ;
      в) сведения о взаимодействии объекта КИИ и сетей электросвязи;
      г) сведения о лице, эксплуатирующем объект КИИ;
      д)сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);
      е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;
      ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;
      з) категорию значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;
      и) организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.  (ст.17, ПП 127)

Вполне может получится так, что какой-то из объектов КИИ окажется значимым, но при этом требуемые меры по обеспечению его безопасности на момент проведения категорирования окажутся реализованными не в полном объёме или нереализованными вовсе. В таком случае субъект КИИ самостоятельно отправит во ФСТЭК информацию о том, что он нарушает Федеральное законодательство:

Субъекты критической информационной инфраструктуры, которым на праве собственности,аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры […] обязаны:

1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти,уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации; (ст.9 п.3 187-ФЗ)

Конечно, пока ответственности за невыполнение требований 187-ФЗ по обеспечению безопасности значимых объектов КИИ не установлено (что бы ни рассказывали отдельные интеграторы-пугатели), да и среди оснований для проведения внеплановой проверки ФСТЭК нет ничего вроде «выявление фактов несоблюдения законодательства», но все равно как-то неуютно в такой щекотливой ситуации оказаться.

Кстати, согласно Постановления Правительства РФ №162 от 17.02.2018 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ» одним из оснований для проведения внеплановой проверки может являться инцидент, повлекший негативные последствия. Так что ФСТЭК в таком случае сразу будет знать, какие из мер не были приняты. Слайд из презентации представителя ФСТЭК в разъяснение ПП-162:

Основания для проверок

Основания для проверок

В общем, совсем затягивать с отправкой Перечня, конечно, не стоит, но и нужно осознавать всё вышеизложенное. В более выгодном положении, конечно, находятся те, кто ранее уже занимался обеспечением безопасности своих систем — в соответствии с 17/21/31 приказами или без оглядки на них.

Ну, а если для явно значимых объектов КИИ до сих никаких мер по обеспечению безопасности не принималось, то не лучше ли будет озаботиться именно этой стороной вопроса, а не формальным выполнением важной, конечно, но всё-таки бумажной работы по отправке Перечней и сведений о категорировании?

Впрочем, в каждой конкретной ситуации нужно, конечно, разбираться отдельно и составлять дорожную карту по соблюдению требований 187-ФЗ индивидуально.

, , , , , ,