Итак, после попыток идентифицировать свою организацию как субъект КИИ, либо просто ужаснувшись перспектив выполнения 187-ФЗ, ваша организация решила не подавать заявление о членстве в элитном Клубе любителей КИИ - Руководителем организации принято решение, что организация не субъект КИИ.
*в заметке использованы сканы с документов, размещенных в Интернет. Дополнительно обработанные для обезличивания.
Варианты оформления данного решения:
1. Без оформления.
2. Создание приказом по организации рабочей группы/комиссии. Оформление коллегиальным решением статуса организации.
2+. Оформление коллегиального решения не только по статусу организации «не субъект КИИ», но и по статусу каждой ИС/АСУ/ИТКС в собственности организации «не объект КИИ». Основное отличие, вы не просто указываете, что ИС/АСУ/ИТКС не функционирует в 13 сферах КИИ, а устанавливаете конкретную сферу деятельности для каждой ИС/АСУ/ИТКС.
Почему я так настойчиво рекомендую оформить максимальное количество бумаг, совершенно не обязательных по действующему законодательству?
Ответ простой : 187-ФЗ написан так, что любая организация страны может получить «письмо счастья» от ФСТЭК/ФСБ России или от местного Правительства субъекта РФ с требованием выполнить 187-ФЗ
Но хуже всего, что можете получить прокурорский запрос на предоставление документов по выполнении 187-ФЗ, аналогичный запросам по другим законам.
На всякий случай, прокуратура обязана запрашивать конкретный перечень подтверждающих документов. Вы имеет право написать в ответ на «общий» запрос прокуратуры заявление по форме от СПС «Гарант»
В редактируемом формате здесь.
В высокой зоне риска находятся организации, заявившие виды экономической деятельности в 13 сферах КИИ. Особенно лицензиаты в них.
Как же будут выглядеть ответы организаций на подобные запросы при различных вариантах оформления решений.
Вариант 1.
Вариант 2.
Вариант 3.
Выигрышность позиции организации при варианте 3 наглядна.
Считаю, что я убедил оформить все максимально.
Для этого назначаем ответственного или создаем коллегиальный орган (рабочую группу или комиссию). Вполне допустимо использовать действующие комиссии по безопасности, информационной безопасности (классификации ГИС/ИСПДн) или ПДТК (по ГТ) уже существующее в организации.
Если был назначен один ответственный, то он оформляет служебную записку на руководителя организации. Руководитель организации визирует ее и дальше она храниться в организации. Рекомендую при визировании руководителем указывать «ответственному…. проводить работы по определению объектов КИИ, в случаях изменении/модернизации ИС/АСУ/ИТКС или создания новых ИС/АСУ/ИТКС».
Коллегиальные решения более предпочтительнее. Чем больше участников процесса принятия решения, тем ниже уровень ответственности каждого участника процесса, особенно руководителя организации. Ответственность «размазывается».
Что бы избежать дополнительных вопросов и обвинений от надзорных органов, рекомендую утвердить в организации положение о рабочей группе/комиссии. Образец типового положения в редактируемом формате здесь.
Результат работы коллегиальных органов организации:
В редактируемом формате здесь.
* Более подробно проблемы самоидентификации субъектов КИИ рассмотрены в материалах блога "Рупор бумажной безопасности"