Обновление приказа №227 ФСТЭК России

Дата: 04.08.2021. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Обновление приказа №227 ФСТЭК России

 

    Логичным следствием попытки внесения изменений в ПП127  ( https://valerykomarov.blogspot.com/2021/07/127.htm,  https://valerykomarov.blogspot.com/2021/07/127_29.html )  стала публикация проекта приказа ФСТЭК О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227 https://regulation.gov.ru/Projects/List#npa=118599

    Общественное обсуждение до 12 августа 2021 года. Направляем свои замечания и предложения, пока есть возможность.

    Отмечу положительные изменения в процедуре – адреса основной и дополнительной электронной почты для направления замечаний теперь различаются.

    ФСТЭК проанализировала свой опыт ведения Реестра ЗОКИИ – «разработан по результатам мониторинга правоприменения Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227»

    Первые ЗОКИИ появились уже в 2018 году, так что опыт накоплен многолетний и достаточный у ФСТЭК.  Цели внесения изменений тоже вопросов не вызывают:

    Заявленная цель изменений – «обеспечение актуальности и достоверности сведений, содержащихся в реестре ЗОКИИ, а также на повышение удобства ведения этого реестра.»

    Но вот реализация странная.

    Предлагают внести изменения в п.6 Приказа и разделить ТЭК и Энергетику. С точки зрения 187-ФЗ: это правильно, так как в ст.2 они указаны как разные сферы функционирования объектов КИИ.

    Повлияют эти изменения лишь на кодировку регистрационного номера в Реестре. На достоверность сведений не влияет, но возможно повысит удобство использования Реестра. Для нас больше критично понять: где проходит граница между «Энергетика» и «ТЭК», но это уже выходит за рамки приказа 227.

    Следующий пункт изменений более значительный и направленный на обеспечение достоверности информации в Реестре ЗОКИИ. А как же удобство?

«8. В случае изменения сведений о лицах, эксплуатирующих значимые объекты критической информационной инфраструктуры, о программных и программно-аппаратных средствах, используемых на значимых объектах критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии), а также об угрозах безопасности информации и о категориях нарушителей в отношении значимых объектов критической информационной инфраструктуры либо об отсутствии таких угроз субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее 10 рабочих дней со дня их изменения на бумажном и электронном носителях.».

    И вот здесь непонятно, а причем здесь приказ о ведение Реестра?

    Перечень сведений, обрабатываемых в Реестре ЗОКИИ установлен ст.8 187-ФЗ. В него никаких изменений не вносится. Каким образом мы повышаем достоверность сведений, которых в Реестре ЗОКИИ просто нет?

    Почему не важна достоверность сведений из Реестра ЗОКИИ «а», «б», «д», «ж»?

    Запрос актуализированных сведений о ЗОКИИ, не входящих в Реестр ЗОКИИ целесообразнее прописывать в 235 приказ ФСТЭК, как одну из функций подразделения безопасности.

    Далее, а в каком формате должен субъект КИИ эти сведения направлять? Почему не учитывается опыт по 236 Приказу и форме Перечня объектов КИИ, подлежащих категорированию? Потом опять будут вносить изменения что принимаем только в .otdили .jts? Что мешает сразу прописать «измененные сведения направляются с выполнением требований 236 приказа? Где реализация заявленной цели – удобство ведения Реестра ЗОКИИ?

    И самое интересное изменение в приказ 227:

в абзаце втором пункта 12 слова «по их запросам только в части значимых объектов критической информационной инфраструктуры, функционирующих в сферах» заменить словами «ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах)».

    Заменим и прочитай целиком пункт:

Сведения из Реестра могут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, указанным в части 2 статьи 11 Федерального закона О безопасности критической информационной инфраструктуры Российской Федерации ежеквартально, либо по их запросам только в части субъектов критической информационной инфраструктуры, выполняющих функции (полномочия) или осуществляющих деятельность в областях (сферах), отнесенных в компетенции этих государственных органов или российских юридических лиц.

    Отлично получилось, но нет.

    Видим замену «объект, функционирующий в сферах КИИ» на «субъект, осуществляющий деятельность в регулируемой сфере». И это принципиально различается.

    Согласно ст.8 187-ФЗ Реестр ЗОКИИ ведется с целью учета ЗОКИИ, а не субъектов КИИ. Реестр ЗОКИИ не содержит информации о сфере деятельности субъекта КИИ. В форме, утвержденной Приказом ФСТЭК России от 22.12.2017 № 236 Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, такая информация не запрашивается и не предоставляется субъектом КИИ в ФСТЭК России.

    Видимо группировка сведений на запрос органа власти будет по п. «б» Реестра — наименование субъекта КИИ, а запрашивающий орган власти будет как то доказывать ФСТЭК, что интересующий его субъект КИИ относится к его «зоне ответственности».

    Еще, а что означает формулировка приказа «Сведения из Реестра могут предоставляться государственным органам … ежеквартально»?

    Вот первый абзац из этого же пункта действующей редакции:

Сведения из Реестра не реже чем один раз в месяц направляются в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии со статьей 5 Федерального закона О безопасности критической информационной инфраструктуры Российской Федерации

    Никто же не стал писать «сведения в ГосСОПКУ могут направляться ежемесячно».

    Если уж прописываете конкретную периодичность предоставления информации, то значит она обязательная. ФСТЭК ежеквартально направляет в органы власти,…., сведения обо всех ЗОКИИ всех субъектов КИИ, осуществляющих деятельность в регулируемых сферах.

    Не раскрыт в приказе и формат предоставления таких сведений. В п.2 Приказа 227 прямо указано, что информация предоставляется в бумажном и электронном виде. У нас ведь выписки из Реестра будут с грифом ГТ идти?

* Раздел блога Административная ответственность субъекта КИИ на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

**** YouTube — канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *