Изменения в Реестре ЗОКИИ

176 full reads
387 story viewsUnique page visitors
176 read the story to the endThat's 45% of the total page views
3 minutes — average reading time
Презентация ФСТЭК России
Презентация ФСТЭК России
Презентация ФСТЭК России

Ранее мы обсудили внесение изменений в Перечень объектов КИИ, подлежащих категорированию.

Теперь поговорим как субъект КИИ может инициировать изменение сведений в Реестре ЗОКИИ. В каких случаях и каким образом.

Между процессами внесения изменений в Перечень и Реестр есть принципиальное отличие. Перечень формирует и изменяет СУБЪЕКТ КИИ, на свое усмотрение и по своей воле. Повлиять может только ведомственный центр в регулируемой сфере КИИ, но это специфичный случай. ФСТЭК не имеет полномочий влиять на этот процесс.

А вот Реестр формирует и изменяет ФСТЭК, а субъект КИИ только информирует о произошедших изменениях в ЗОКИИ.

Возможность маневра у субъекта КИИ, после внесения сведений об ЗОКИИ в Реестр, существенно ограничены.

1. И так, в каких случаях субъект обязан сообщить в ФСТЭК об изменениях в своих ЗОКИИ:

а) наименование ЗОКИИ;

б) наименование субъекта КИИ;

в) сведения о взаимодействии ЗОКИИ и сетей электросвязи;

г) сведения о лице, эксплуатирующем ЗОКИИ;

д) категория значимости, которая присвоена объекту КИИ субъектом КИИ;

е) сведения о программных и программно-аппаратных средствах, используемых на ЗОКИИ;

ж) меры, применяемые для обеспечения безопасности ЗОКИИ.

Если у субъекта КИИ изменились по этим пунктам сведения, которые были направлены в ФСТЭК ранее при категорировании ОКИИ (по форме 236 приказа ФСТЭК), то пишем письмо в ФСТЭК.

Собирать заседание постоянно действующей комиссии по категорированию не обязательно, за исключением случая "д".

Пример:

Настоящим сообщаем, что произошли изменения в составе сведений о результатах категорирования "наименование ОКИИ", "номер в Реестре (вам его сообщила ФСТЭК при подтверждении результатов категорирования), направленных в адрес ФСТЭК России от "дата" №....

Пункт 5.2 формы сведений о результатах категорирования "наименование ОКИИ" читать в следующей редакции: Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)

Либо использовать табличную форму из 236 приказа, в части изменяющихся пунктов:

Приложить документы, подтверждающие внесенные изменения.

Сроки уведомления ФСТЭК о произошедших изменениях ЗОКИИ в законодательстве не установлены.

Важно: при первичном заполнении формы 236 приказа (при категорировании) для ЗОКИИ, указывайте минимально конкретизированную информацию по вышеперечисленным пунктам.

Ее должно быть достаточно для прохождения проверки ФСТЭК и не более. Иначе, придется вести постоянную переписку с ФСТЭК по текущим изменениям в версии программного обеспечения или замене ноутбука на модель с другим индексом.

Массовое обновление информации произойдет после создания систем безопасности на каждом ЗОКИИ.

2. Что делать, если субъект КИИ решил исключить свой ЗОКИИ из Реестра, ситуация изменилась и объект КИИ совсем потерял категорию (случай "д")?

Приказ ФСТЭК России от 06.12.2017 № 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"

10. В случае изменения ЗОКИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, и ему не может быть присвоена ни одна из категорий значимости, субъект КИИ должен направить об этом сведения в ФСТЭК России.

На основании сведений, представленных субъектом КИИ, объект КИИ исключается из Реестра.

Необходимо провести повторное категорирование ЗОКИИ в результате модернизации, либо других причин изменений ИС/АСУ/ИТКС. Важны именно изменения объекта КИИ, а не изменение условий договора на оказание услуг с помощью этого ЗОКИИ (такого основания для пересмотра категории в законодательстве не предусмотрено).

Собираете постоянно действующую комиссию по категорированию и на заседании рассматриваете этот ЗОКИИ по новому, с определением применимости всех показателей значимости. Оформляете акт категорирования и сведения о результатах категорирования по форме 236 приказа ФСТЭК, направляете утвержденную форму в ФСТЭК.

Если в ходе проверки сведений вопросов у ФСТЭК не возникнет, то будут внесены соответствующие изменения в Реестр (изменена категория или объект исключен окончательно).

Необходимо помнить, что от этого ваша ИС/АСУ/ИТКС не перестала быть объектом КИИ. Уголовная ответственность за нарушение правил эксплуатации по ст.274.1 УК РФ и обязанности по информированию НКЦКИ о компьютерных инцидентах сохранились.

Если вы как основание указали - вывод из эксплуатации ЗОКИИ, то будет необходимо предоставить доказательства выполнения пп.14-14.4 "Обеспечение безопасности значимого объекта при выводе его из эксплуатации" Приказа ФСТЭК № 239.

Важно: вывод из эксплуатации ЗОКИИ без подтверждения прекращения экономической деятельности субъекта КИИ в ранее заявленной сфере функционирования этого ЗОКИИ проблематичен.

ФСТЭК подозрительно отнесется к такому случаю.

Пример: субъект КИИ - оператор связи. Вывел из эксплуатации свой ЗОКИИ в сфере связи, а операторская лицензия не отозвана в РКН. Возникнет вопрос - каким образом продолжают оказываться услуги связи? Дальше возможны варианты, но их необходимо будет подтвердить документами.

Итог: субъекту КИИ придется доказать либо прекращение своей деятельности в сферах КИИ (выполнен ГОЗ, научный грант и т.д.), либо указать на другой ЗОКИИ (вновь создаваемый, модернизируемый, дублирующий и т.д.), который продолжит обеспечивать данный критический процесс. Если указан другой ЗОКИИ, то это может привести к повышению его категории значимости по требованию ФСТЭК.

P.S. Основная проблема для субъекта КИИ в реализации желания по исключению своего ЗОКИИ из Реестра - найти обоснованную причину для изменения объекта КИИ. Оснований для пересмотра категории немного - изменение объекта, изменение показателей ПП127, прошло 5 лет, решение ФСТЭК при проверке (госконтроль). Либо радикальный вариант - реорганизация организации и потеря статуса (субъект КИИ) полностью.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019