Итог этапа общественного обсуждения изменений в ПП127

Дата: 01.11.2021. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Итог этапа общественного обсуждения изменений в ПП127

 

    ФСТЭК обновила проект изменений ПП127 на https://regulation.gov.ru/projects#npa=118306. По результатам этапа общественного обсуждения. Посмотрим какие замечания поступили и как отреагировала ФСТЭК на них. Первую версию разбирал  — https://valerykomarov.blogspot.com/2021/07/127_29.html

  Теперь делегирование функций ФСТЭК по контролю выполнения субъектами КИИ категорирования ОКИИ выглядит так — Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществляют ведомственный и (или) отраслевой мониторинг и контроль соблюдения сроков представления, актуальности и достоверности сведений, указанных в подпунктах «а», «б», «в», «г», «д», «е» пункта 17 настоящих Правил. 

    Мониторинг осуществляется регулярно, путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в подпунктах «а», «б», «в», «г», «д», «е» пункта 17 настоящих Правил. 

    При выявлении по результатам мониторинга нарушения сроков работ по категорированию, предоставления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений, государственные органы и российские юридические лица в пределах компетенции направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в субъектах критической информационной инфраструктуры.»

   Замысел ФСТЭК прокомментировал по моей просьбе Лютиков В.С. на одной из конференций

   Вопросы:

1. в ПП127 есть 19. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 — 8 статьи 7 Федерального закона О безопасности критической информационной инфраструктуры Российской Федерации. То есть, проверка сведений от субъектов КИИ это зона ответственности ФСТЭК и никого более, причем порядок проверки сведений указан в 187-ФЗ, а не ПП127. Понятно что ФСТЭК играет словами и отраслевые ФОИВ проводят не проверку сведений, а оценку. Но даже такая ситуация требует внесения изменений в порядок проверки сведений в 187-ФЗ. А этого нет.

2. Появляется обязанность у отраслевых ФОИВ запрашивать информацию, но отсутствует обязанность у субъектов КИИ предоставлять эту информацию в ФОИВ. Согласно 187-ФЗ субъект КИИ обязан направлять сведения о результатах категорирования исключительно в ФСТЭК. Особенно на фоне ответа авторов проекта Административная ответственность за нарушение сроков ответов на запросы государственных органов и юридических лиц, направляемых в ходе мониторинга, не предусмотрена.

3. Каким образом отраслевые ФОИВ узнают кого запрашивать? Откуда им узнать кто является субъектом КИИ? Надо прописывать обязанность ФСТЭК направлять информацию об организациях в регулируемых сферах, подавших перечни объектов КИИ, подлежавших категорированию.

4. Другой организационный момент. А отраслевые ФОИВ должны мониторить деятельность субъекта КИИ до момента отправки им сведений в ФСТЭК или вообще всегда и всех? Должен ли отраслевой ФОИВ мониторить после подтверждения от ФСТЭК,  что результаты категорирования проверены и подтверждены?

5. Что с разделением зон ответственности между федеральными и региональными органами власти? Каждый случай в ручную будет разруливаться?

6. Как ФСТЭК взаимодействуют в обратную сторону с отраслевыми органами? Будет ли ФСТЭК проверять выполнение указанных требований отраслевыми органами? А если сам отраслевой ФОИВ субъект КИИ, то кто его мониторит?

7. Каким образом отраслевые органы должны проверить достоверность в части использованных на объектах КИИ программ и ПА? Это выездные проверки или документальные должны быть?

 8. Субъект КИИ теперь должен дождаться подтверждения достоверности и актуальности от отраслевого ФОИВ и только потом направлять сведения в ФСТЭК? Что будет делать ФСТЭК при получении сигнала от отраслевого ФОИВ, что сведения от субъекта КИИ не актуальны или не достоверны? Штраф выписывать субъекту КИИ по КоАП?

 9. Возвращаемся к старому спору. Всегда ли сфера объектов КИИ совпадает с видами экономической деятельности субъектов КИИ? Кто будет координировать работу ФОИВ по субъектам КИИ, которые владеют ОКИИ в разных сферах? Зачем это избыточное дублирование переписки разных ФОИВ с одной организацией.

   И это вопросы только по реализации процессов, заложенных в проект изменений. Если это уровень Постановления Правительства, то очень странно, что они никак не описаны. Координация задействованных органов власти вообще не предусмотрена. Выглядит как попытка размыть ответственность за показатели реализации этапа категорирования. Если читать предложенное буквально, то ФСТЭК предлагает использовать отраслевые органы власти как делопроизводителей — написали письма, получили. О тех кто не ответил в срок — сообщили в ФСТЭК. Контроля за всем этим никакого не предусмотрено. И как это должно заработать?

  Если уж такая проблема возникла с достоверностью, то давайте менять саму процедуру категорирования: указываем перечень отраслевых ФОИВ по каждой из 13 сфер, субъекты КИИ сначала направляют в них перечни ОКИИ, потом сведения о результатах категорирования. После подтверждения от ФОИВ, субъект КИИ направляет в ФСТЭК. Либо ФСТЭК все полученные сведения перенаправляет в ФОИВы и рассматривает только после получения подтверждения от них, но все равно надо сроки менять.

   Момент с внесением новых обязанностей на ФОИВ через подзаконный акт, без внесения соответствующих изменений в 187-ФЗ оставляет в глубоком недоумении.

  Есть Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры, в которую необходимо вносить эти изменения в обязанности органов власти. Надо вносить обязанности субъектов КИИ отвечать на запросы отраслевых ФОИВ в Статью 9. Права и обязанности субъектов критической информационной инфраструктуры. Необходимо менять Статью 7. Категорирование объектов критической информационной инфраструктуры и вносить именно в нее изменения порядка контроля за выполнением с учетом проектного мониторинга за категорированием объектов КИИ. Предусматривать разработку регламентов взаимодействия и т.д.

Сами итоги обсуждения:

Общее количество поступивших предложений

6

Общее количество учтенных предложений

1

Общее количество частично учтенных предложений

4

Общее количество неучтенных предложений

1

Позиция участника обсуждения

Статус рассмотрения

Комментарии разработчика

По вопросу издания постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее – проект постановления) сообщаем.  1. Согласно абзацу второму пункта 1 изменений, вносимых в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (далее — Изменения), устанавливается обязанность субъекта критической информационной инфраструктуры (далее – субъект КИИ) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (далее – ФСТЭК России), изменения сведений в отношении значимого объекта критической информационной инфраструктуры (далее – ЗОКИИ) о лице, эксплуатирующем объект критической информационной инфраструктуры (далее – объект КИИ), о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии), об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз, не позднее 10 рабочих дней со дня изменения в печатном и электронном виде. Правовую основу деятельности Правительства Российской Федерации согласно статье 2 Федерального конституционного закона  от 6 ноября 2020 г. № 4-ФКЗ «О Правительстве Российской Федерации» составляют Конституция Российской Федерации, федеральные конституционные законы, федеральные законы, указы Президента Российской Федерации.  Согласно статье 115 Конституции Российской Федерации Правительство Российской Федерации издает постановления и обеспечивает их исполнение на основании и во исполнение Конституции Российской Федерации, федеральных законов, указов, распоряжений, поручений Президента Российской Федерации. Полномочия Правительства Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры установлены статьей 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ). Согласно части 2 статьи 6 Федерального закона № 187-ФЗ Правительство Российской Федерации уполномочено устанавливать показатели критериев значимости объектов КИИ, в том числе их значения, порядок и сроки осуществления категорирования объектов КИИ, порядок осуществления государственного контроля в области обеспечения безопасности ЗОКИИ, а также порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования ЗОКИИ. Согласно статье 7 Федерального закона № 187-ФЗ категорирование объекта КИИ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, а также проверку сведений о результатах ее присвоения. Установление порядка направления изменений в сведения о ЗОКИИ в состав категорирования объекта КИИ положениями статьи 7 Федерального закона № 187-ФЗ не предусмотрено. Таким образом, установление порядка направления изменений сведений о ЗОКИИ не входит в полномочия Правительства Российской Федерации. Вместе с тем, направление сведений о результатах категорирования объектов КИИ осуществляется в целях учета ЗОКИИ в ходе межотраслевой координации деятельности по обеспечению ЗОКИИ, осуществления государственного контроля в области обеспечения безопасности ЗОКИИ, посредством ведения реестра ЗОКИИ в порядке, установленном ФСТЭК России.  Порядок ведения реестра ЗОКИИ согласно пункту 2 части 3 статьи 6 Федерального закона № 187-ФЗ установлен приказом ФСТЭК России от 6 декабря 2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (далее – Приказ № 227).  Согласно пункту 3 Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного Приказом № 227 (далее – Порядок), субъекты КИИ должны обеспечивать достоверность и актуальность представляемых сведений об объектах КИИ. В том числе, согласно пункту 8 Порядка, в случае изменения сведений о ЗОКИИ субъекты КИИ должны направить измененные сведения в ФСТЭК России. 2. Согласно абзацу третьему пункта 1 Изменений устанавливается обязанность государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществлять ведомственный и (или) отраслевой мониторинг состояния работ по категорированию, в том числе актуальности и достоверности сведений, направляемых в соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 (далее – Правила) в ФСТЭК России, а также по результатам мониторинга принимать меры по недопущению нарушения субъектами КИИ сроков выполнения работ по категорированию, в том числе по соблюдению актуальности и достоверности сведений. Положениями Федерального закона № 187-ФЗ предусмотрено в целях проверки соблюдения субъектами КИИ требований, установленных Федеральным законом № 187-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, проведение государственного контроля в области обеспечения безопасности ЗОКИИ. Осуществление государственного контроля возложено на ФСТЭК России в соответствии с частью 3 статьи 6 Федерального закона № 187-ФЗ и Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю». Необходимо отметить, что в действующем законодательстве Российской Федерации отсутствует определение ведомственного и(или) отраслевого мониторинга, в том числе мониторинга в области обеспечения безопасности КИИ. Вместе с тем, согласно статье 96 Федерального закона от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (далее – Федеральный закон № 248-ФЗ), под мониторингом понимается режим дистанционного государственного контроля, заключающийся в целенаправленном, постоянном (систематическом, регулярном, непрерывном), опосредованном получении и анализе информации о деятельности граждан и организаций, об объектах контроля с использованием систем (методов) дистанционного контроля, в том числе с применением специальных технических средств, имеющих функции фотосъемки, аудио- и видеозаписи, измерения, должностными лицами контрольного органа в целях предотвращения причинения вреда (ущерба) охраняемым законом ценностям. При этом мониторинг основан на добровольном участии контролируемых лиц и осуществляется в случаях, установленных положением о виде контроля, по заявлению контролируемого лица на условиях соглашения между контролируемым лицом и контрольным органом. Таким образом, осуществление мониторинга состояния работ по категорированию объектов КИИ, в том числе актуальности и достоверности сведений, с учетом положений Федерального закона № 248-ФЗ, является составляющей государственного контроля в области обеспечения безопасности ЗОКИИ, проведение которого согласно статье 12 Федерального закона № 187-ФЗ возложено на ФСТЭК России. При этом Правительство Российской Федерации уполномочено исключительно на установление порядка осуществления государственного контроля в области обеспечения безопасности ЗОКИИ, и не уполномочено определять органы, уполномоченные на проведение государственного контроля в области обеспечения безопасности ЗОКИИ.  Также замечания к проекту постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127» в прилагаемом файле.

Частично учтено

Изменение сведений, указываемых субъектом критической информационной инфраструктуры в пунктах «г», «д» и «е», влияет на присваиваемую категорию значимости объекта критической информационной инфраструктуры, и, таким образом, является частью категорирования объектов критической информационной инфраструктуры. В соответствии с Федеральным законом № 187-ФЗ Правительство Российской Федерации устанавливает порядок категорирования объектов критической информационной инфраструктуры. В проектируемый пункт 19.2 внесены соответствующие изменения.

Здравствуйте. Прошу рассмотреть предложения и замечания в приложенном документе на 6 листах.

Частично учтено

Изменение сведений, указываемых субъектом критической информационной инфраструктуры в пунктах «г», «д» и «е», влияет на присваиваемую категорию значимости объекта критической информационной инфраструктуры, и, таким образом, является частью категорирования объектов критической информационной инфраструктуры. Целью мониторинга состояния работ по категорированию является своевременное принятие мер по недопущению нарушения субъектом критической информационной инфраструктуры сроков категорирования, а также соблюдение актуальности и достоверности представляемых субъектом критической информационной инфраструктуры сведений о результатах присвоения категорий значимости объектам критической информационной инфраструктуры. Таким образом, проведение мониторинга соответствует пункту 1 Правил категорирования и не выходит за область их действия. Предлагаемые изменения сужают область действия вносимых проектом постановления Правительства Российской Федерации изменений, что не соответствует целям проекта постановления Правительства Российской Федерации, указанным в пояснительной записке к нему. Государственные органы и юридические лица, указанные в проектируемом пункте 19.2 осуществляют нормативно-правовое регулирование в установленной сфере деятельности, в том числе в области информационной безопасности. Пункт 2 исключён.

1. Исключить положение об ответственности за непредоставление информации. 1.1. Вводимая проектируемой нормой административная ответственность субъектов критической информационной инфраструктуры уже предусмотрена действующим КоАП РФ. Проектом предлагается дополнить Правила категорирования пунктом 22, который предусматривает административную ответственность за непредставление или нарушение сроков представления сведений, предусмотренных настоящими Правилами. Вместе с тем, статьи 13.12.1 и 19.7.15 КоАП РФ уже содержит перечень административных правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. Дополнительное указание в проекте на применение мер административной ответственности в соответствии с законодательством Российской Федерации является избыточным и влечет задваивание налагаемых штрафных санкций. 1.2. Существуют иные отраслевые меры ответственности за ненадлежащую работу с рядом объектов КИИ. В ряде отраслевых нормативных правовых актов уже предусмотрена дополнительная отраслевая ответственности за нарушение порядка эксплуатации объектов КИИ. Например, в соответствии с законодательством об электроэнергетике гарантирующие поставщики и сетевые организации несут ответственность за необеспечение надлежащего функционирования интеллектуальных систем учета, которые признаются объектами КИИ. Таким образом, в действующем законодательстве уже создана достаточная система мер ответственности в сфере КИИ, в связи с чем введение дополнительных положений законодательства, связанных с указанным вопросом избыточно. На основании изложенного необходимо пункт 22 в проектируемой редакции проекта исключить, как избыточный и дублирующий существующие меры ответственности

Учтено

Пункт 2 исключён.

Замечания и предложения к проекту изменений в постановление Правительства РФ № 127: — возможны правовые коллизии из-за неопределенности состава государственных органов и российских юридических лиц, которые смогут осуществлять контроль (мониторинг) категорирования объектов КИИ, а также неопределённость состава субъектов КИИ, в отношении которых может осуществляться такой контроль (мониторинг). По сути, предлагается ввести тотальный контроль за всеми юридическими лицами подпадающими под действие ФЗ № 187 (13 сфер деятельности); — создаются условия для неправомерного доступа неопределенного круга контролирующих лиц к конфиденциальным сведениям обо всех информационных процессах и системах юридических лиц,  поскольку для всех должна проводиться оценка критичности по требованиям постановления Правительства РФ № 127, если юридическое лицо осуществляет деятельность, подпадающую под действие ФЗ № 187; — целесообразно контроль (мониторинг) категорирования объектов КИИ субъектами КИИ осуществлять уполномоченным органом (ФСТЭК России), который имеет соответствующие полномочия, а также государственными органами в отношении подведомственных им государственных предприятий в рамках действующих НПА; — целесообразно установить срок представления сведений об изменениях объектов КИИ – до 30 дней; — исключить пункт 2 проекта НПА, поскольку ответственность субъектов КИИ за  непредставление или нарушение сроков представления сведений об объектах КИИ уже установлена частью 1 статьи 19.7.15 КоАП РФ.

Частично учтено

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Федеральный закон № 187-ФЗ) распространяется на сферы (отрасли) деятельности, указанные в пункте 8 статьи 2 Федерального закона № 187-ФЗ. Таким образом, указанные в проектируемом пункте 19.2 государственные органы и российские юридические лица выполняют функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сферах (отраслях), указанных в пункте 8 статьи 2 Федерального закона № 187-ФЗ. Указанные государственные органы и юридические лица определяются федеральными законами и указами Президента Российской Федерации. Осуществление мониторинга не предусматривает направление в государственные органы и юридические лица, указанные в проектируемом пункте 19.2, всего объёма сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. В ходе проведения мониторинга будут рассматриваться только сведения о ходе категорирования и достаточности сведений. В рамках действующих нормативных правовых актов ФСТЭК России осуществляет государственный контроль, целью которого является  проверка соблюдения субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, требований, установленных Федеральным законом № 187-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Целью предложенных изменений является мониторинг соблюдения субъектами критической информационной инфраструктуры соблюдения сроков категорирования, актуальности и достоверности сведений, направляемых в ФСТЭК России. Таким образом, объединение функций государственного контроля и мониторинга представляется нецелесообразным. В проектируемый пункт 19.1 внесены соответствующие изменения. Пункт 2 исключён.

В проект предлагается добавить новый пункт 19.2. Но из его формулировки не ясно: • какими способами, силами и средствами, с какой периодичностью и в какие сроки предлагается проводить указанный мониторинг,  • какие обязанности по предоставлению сведений (в том числе по срокам ответов на запросы государственных органов и юридических лиц), а также иные обязанности, связанные с осуществлением мониторинга, возлагаются на субъекты критической информационной инфраструктуры, • будут ли субъекты нести ответственность за нарушение сроков ответов за запросы государственных органов и юридических лиц, направляемых в ходе мониторинга, согласно нового пункта 22. 

Частично учтено

В проектируемый пункт 19.2 внесены соответствующие изменения. Обязанности субъектов критической информационной инфраструктуры, связанные с категорированием объектов критической информационной инфраструктуры, определены Федеральным законом № 187-ФЗ и Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утверждёнными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 (далее — Правила категорирования). Административная ответственность за нарушение сроков ответов на запросы государственных органов и юридических лиц, направляемых в ходе мониторинга, не предусмотрена.

Добрый день. Прошу учесть, что в пункте 1 Изменений трактуется так, что при создании нового рабочего места работника или это будет дополнительное место оператора, подключаемое к базе данных или какому — либо технолоческому процессу объекта КИИ, субъекты КИИ будут обязаны уведомлять регулятора по пункту д статьи 17. Что неимоверно будет усложнять работу регулятора и все силы будут направлены на рассмотрение уведомлений со всей страны, в том числе и работу служб на  объектах КИИ по подготовке уведомлений.  Прошу внести корректировку с учётом  уведомлений, которых изменения существенно влияют на технологический или функциональный процесс работы или защиты объекта КИИ. Основные критерии существенных критерии может агрегировать и перечислять только регулятор на основании полученных прошлых уведомлений.

Не учтено

Работа, указанная в замечании, организуется в рамках категорирования объектов критической информационной инфраструктуры и не требует привлечения дополнительных ресурсов. В соответствии с пояснительной запиской предлагаемые изменения учитывают влияние актуальности и достоверности направляемой в ФСТЭК России информации на принимаемые технические меры обеспечения безопасности критической информационной инфраструктуры.

Раздел Правоприменительная практика по ст.274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации на главной страницы блога — https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *