819 subscribers

«Клуб любителей КИИ». Обновляем сведения об ОКИИ

344 full reads
«Клуб любителей КИИ». Обновляем сведения об ОКИИ

#кии #187-фз

Постановление Правительства РФ от 24.12.2021 № 2431 «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» вступило в силу 4 января 2022 года.

19(1). В случае изменения сведений, указанных в подпунктах "а" - "е" пункта 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 настоящих Правил.

Субъектов КИИ волнуют следующие вопросы:

1. Эти требования касаются всех объектов КИИ или только ЗОКИИ? Надо ли направлять обновления субъектам КИИ, которые не владеют ЗОКИИ?

2. О каких изменениях идет речь?

3. С какого момента начинается отсчет 20 рабочих дней?

4. Требуется ли пересматривать категорию значимости на заседании комиссии перед направлением обновленных сведений в ФСТЭК?

Ответы:

1. Уведомляют все субъекты КИИ. В отношении всех объектов КИИ, по которым ранее были переданы сведения в ФСТЭК. Но есть потенциальная особенность:

Кроме внесения изменений в ПП127, известен Проект Приказ ФСТЭК России от 06.12.2017 № 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"

"8. В случае изменения сведений о лицах, эксплуатирующих значимые объекты критической информационной инфраструктуры, о программных и программно-аппаратных средствах, используемых на значимых объектах критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии), а также об угрозах безопасности информации и о категориях нарушителей в отношении значимых объектов критической информационной инфраструктуры либо об отсутствии таких угроз субъекты критической информационной инфраструктуры должны направить измененные сведения в ФСТЭК России не позднее 10 рабочих дней со дня их изменения на бумажном и электронном носителях.".

Важно: Таким образом, при утверждении новой редакции приказа ФСТЭК № 227, сроки уведомления будут различаться. Для Незначимых ОКИИ составят 20 рабочих дней, а для Значимых ОКИИ только 10 рабочих дней.

2. Сведений об изменении которых необходимо уведомлять ФСТЭК:

а) сведения об объекте критической информационной инфраструктуры;

б) сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;

в) сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;

г) сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;

д) сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии);

е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз.

18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

Форма утверждена приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»

а. Сведения об объекте критической информационной инфраструктуры

1.1. Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)

1.2. Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта

1.3. Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

1.4. Назначение объекта

1.5. Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)

1.6. Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)

б. Сведения о субъекте критической информационной инфраструктуры

2.1. Наименование субъекта

2.2. Адрес местонахождения субъекта

2.3. Должность, фамилия, имя, отчество (при наличии) руководителя субъекта

2.4. Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.

2.5. Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)

2.6. ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

в. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи

3.1. Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи

3.2. Наименование оператора связи и (или) провайдера хостинга

3.3. Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель)

3.4. Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия

г. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

4.1. Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект

4.2. Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект

4.3. Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты)

4.4. ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

д. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры

5.1. Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество

5.2. Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)

5.3. Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем)

5.4. Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки) или сведения об отсутствии средств защиты информации

е. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры

6.1. Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации

6.2. Основные угрозы безопасности информации или обоснование их неактуальности

Изменение любой вышеприведенной информации приводит к необходимости уведомления ФСТЭК!

Наиболее часто меняются: 2.3, 2.4, 3.2, 5.1, 5.4.

К сожалению, за актуализацию этих сведений отвечают различные подразделения и должностные лица организации (юристы, ИТ, ИБ, закупочный отдел). Самым же информированным в организации будет главный бухгалтер – через него проходят все закупки /договора и приказы о кадровых изменениях.

3. Отсчет времени на уведомление начинается от даты:

а) 1.1, 1.2, 1.3, 1.4, 1.5, 1.6 – вступление в силу приказа организации

б) 2.1, 2.2, 2.3, 2.6 – внесение изменений в уставные документы и ЕГРЮЛ/ЕГРИП

б) 2.4, 2.5 – вступление в силу приказа организации

в) 3.1,3.2, 3.3, 3.4 – начало действия договора с оператором связи

г) 4.1, 4.2, 4.3, 4.4 - начало действия договора с эксплуатирующей организацией

д) 5.1, 5.2, 5.3, 5.4 – внесение изменений в Техпаспорт/Акт установки (инсталляции)

е) 6.1, 6.2 – акт заседания комиссии по категорированию/ Акт классификации по другим требованиям (ГИС, ИСПДн и т.д.)

4. Пересмотр результатов категорирования требуется. Но не всем и не всегда.

Рассматривать необходимость пересмотра категории значимости на заседаниях комиссии по категорированию потребуется только для ЗОКИИ и только в случае изменений сведений из разделов 1 и 5 сведений из 236 приказа ФСТЭК (смотри ответ 1).

20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:

1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.

Возможен вариант при изменении сведений раздела 2, когда комиссия зафиксирует утрату признаков субъекта КИИ.

Важно: изменение раздела сведений 3 может повлечь необходимость дополнительного выполнения требований Приказа ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования»

Субъект КИИ с незначимыми ОКИИ пересматривает категорию только в двух случаях: прошло 5 лет с категорирования и изменились показатели в ПП127 (такое уже было в 2019 году).

Выводы:

- форма по 236 приказу ФСТЭК заполняется на каждый ОКИИ. Даже в случае массового внесения изменений в ранее поданные сведения, уведомление о произошедших изменениях придется делать отдельные.

Пример: у организации с 200 НОКИИ поменялся директор (п.2.3 Сведений). Направляем 200 уведомлений по каждому НОКИИ.

- по НОКИИ не требуется проводить заседаний комиссий, достаточно направлять в установленный срок обновленные сведения за подписью руководителя субъекта КИИ.

- по ЗОКИИ необходимо проводить заседание комиссии по категорированию. Основное решение – наличие/отсутствие оснований для пересмотра категории значимости. Оформляется актом, допускается оформление одного Акта по всем рассмотренным ЗОКИИ. Отправлять Акт в ФСТЭК не требуется.

Пример: в организации с 5 ЗОКИИ перешли в рамках импортозамещения с иностранной операционной системы на отечественную. Проводится одно заседании комиссии по категорированию и оформляется ОДИН акт. Направляются ПЯТЬ уведомлений об уточнении сведений по каждому ЗОКИИ в ФСТЭК.

P.S. Вопрос с ответственностью за не уведомление ФСТЭК об изменении сведений остается открытым, так как ст.19.7.15 КоАП «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»

1. Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий -

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

Не описывает состав правонарушение по п.19.1 ПП127 или нарушение требований приказа ФСТЭК №227.

Пример оформления уведомления ФСТЭК для ЗОКИИ:

Настоящим сообщаем, что произошли изменения в составе сведений о результатах категорирования "наименование ЗОКИИ", "номер в Реестре (вам его сообщила ФСТЭК при подтверждении результатов категорирования), направленных в адрес ФСТЭК России от "дата" №....

Пункт 5.2 формы сведений о результатах категорирования "наименование ЗОКИИ" читать в следующей редакции: новое наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)

Либо использовать табличную форму из 236 приказа, в части изменяющихся пунктов.

Приложить документы, подтверждающие внесенные изменения (акт инсталляции ПО/копия страницы техпаспорта ЗОКИИ с изменениями).

Пример оформления уведомления ФСТЭК для НОКИИ:

Настоящим сообщаем, что произошли изменения в составе сведений о результатах категорирования "наименование ОКИИ", направленных в адрес ФСТЭК России от "дата" №.... Уведомление от ФСТЭК России о передаче информации об ОКИИ в НКЦКИ от "дата" № (пишите исходящие реквизиты письма, который ФСТЭК присвоила)

Пункт 5.2 формы сведений о результатах категорирования "наименование ОКИИ" читать в следующей редакции: новое наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)

Либо использовать табличную форму из 236 приказа, в части изменяющихся пунктов.

Приложить документы, подтверждающие внесенные изменения (акт инсталляции ПО/копия страницы техпаспорта ОКИИ с изменениями).

Важно: в электронном виде необходимо использовать файлы тип .odt.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019