Актутализация сведений о ЗОКИИ

324 full reads
520 story viewsUnique page visitors
324 read the story to the endThat's 62% of the total page views
2,5 minutes — average reading time

Актутализация сведений о ЗОКИИ

Согласно п. 17 Постановления Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" каждый субъект КИИ обязан передать в ФСТЭК достаточно значительный объем информации об объекте КИИ по форме, утвержденной 236 приказом ФСТЭК.

Объекты КИИ в силу своей ветреной сущности, а это информационные системы/автоматизированные системы управления/информационно-телекоммуникационные сети, вынуждают субъекта КИИ регулярно решать задачу: произошли изменения в архитектуре, программном обеспечении, эксплуатирующем персонале и т.д., требуется ли уведомлять ФСТЭК о произошедших изменениях на объекте КИИ?

У направляемой субъектом КИИ информации есть два жизненных этапа: до проверки и после проверки ФСТЭК:

Презентация Е. Торбенко (ФСТЭК России)
Презентация Е. Торбенко (ФСТЭК России)
Презентация Е. Торбенко (ФСТЭК России)

Внесение изменений в передаваемые сведения предусмотрены только для случая выявления ФСТЭК недостатков и их возврате на доработку.

Если субъект КИИ принял решение об отсутствии необходимости присваивать категорию значимости своему объекту КИИ и ФСТЭК с этим согласилась, то актуализировать информацию о таком незначимом объекте КИИ придется только в двух случаях:

1. по истечению 5 лет с момента пересмотра

2. при изменении показателей значимости в ПП127 (внесение изменений в нормативные акты), то есть - внеплановое категорирование.

Если объекты КИИ отнесены к значимым, то ситуация сложнее.

В 187-ФЗ для значимых объектов КИИ предусмотрена ст.12, устанавливающая случаи пересмотра категории значимости: результаты госконтроля субъекта КИИ и изменения в самом значимом объекте КИИ. В таком случае, проводится внеплановое категорирование значимого объекта КИИ, оформление акта категорирования и оформление сведений о результатах категорирования с актуальной информацией.

Но это крайние случаи. Если изменения значимого объекта КИИ не приводят к изменению категории значимости и новый акт категорирования не оформляется, то требуется ли информировать ФСТЭК о таких изменениях?

Да, для ЗНАЧИМЫХ объектов КИИ требуется.

Презентация Е. Торбенко (ФСТЭК России)
Презентация Е. Торбенко (ФСТЭК России)
Презентация Е. Торбенко (ФСТЭК России)

Приказ ФСТЭК России от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации" содержит такие указания для субъектов КИИ, владеющих значимыми объектами КИИ:

3. Субъекты критической информационной инфраструктуры должны обеспечивать достоверность и актуальность представляемых сведений об объектах критической информационной инфраструктуры.

8. В случае изменения сведений о значимых объектах критической информационной инфраструктуры субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России.

Изменения в Реестр вносятся только на основе сведений, представляемых субъектами критической информационной инфраструктуры.

Заметим, что не указаны ни сроки, ни процедура уведомления ФСТЭК о произошедших изменениях!

Согласно приказа № 227, уведомлять требуется о следующих изменениях:

а) наименование значимого объекта критической информационной инфраструктуры;

б) наименование субъекта критической информационной инфраструктуры;

в) сведения о взаимодействии значимого объекта критической информационной инфраструктуры и сетей электросвязи;

г) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;

д) категория значимости, которая присвоена объекту критической информационной инфраструктуры субъектом критической информационной инфраструктуры;

е) сведения о программных и программно-аппаратных средствах, используемых на значимом объекте критической информационной инфраструктуры;

ж) меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры.

Наиболее частыми случаями станут: "е" и "ж".

Если субъект КИИ указал в форме о результатах категорирования значимого объекта КИИ конкретную версию ПО или модель ПАК, то при обновлении версии или модернизации "железа" на таком объекте, необходимо направить официальное письмо в ФСТЭК России с актуальной информацией.

Направлять по такому адресу:

Презентация УФСТЭК СФО.
Презентация УФСТЭК СФО.
Презентация УФСТЭК СФО.

Рекомендация: указывайте в первоначальной форме максимально размытые данные по ПО и "железу".

Заметим, что пункт "г" не так страшен, поскольку в 236 приказе под этим лицом запрашивается информация об юридическом лице (наименование юридического лица и ИНН), а не о физическом! Здесь изменения возможны, если у субъекта КИИ поменялся подрядчик по договору.

ИТОГ: уведомлять об изменениях в составе объекта КИИ требуется только для ЗНАЧИМЫХ объектов и не по любым изменениям, а только в части информации, включаемой в реестр значимых объектов КИИ.

Рекомендация: направляйте актуальную информацию в форме 236 приказа ФСТЭК, в бумажном и электронном виде. Запрашивайте в экспедиции ФСТЭК входящий номер регистрации вашего письма для подтверждения исполнения субъектом КИИ своих обязанностей (на случай проверок).

Электронная форма 236 приказа в формате .ods здесь.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности"