Отказываемся от незначимого ОКИИ

29 December 2020
161 full read
2,5 min.
326 story viewsUnique page visitors
161 read the story to the endThat's 49% of the total page views
2,5 minutes — average reading time

Отказываемся от незначимого ОКИИ

Ранее мы рассмотрели ситуации:

1. Решение принято до отправки результатов категорирования в ФСТЭК

2. Решение принято после включения ЗОКИИ в Реестр ФСТЭК

3. Решение о переводе незначимого ОКИИ в ЗОКИИ

В этой заметке обсудим порядок действия субъекта КИИ, принявшего решение о потере ИС/АСУ/ИТКС статуса -незначимый ОКИИ.

Причины такого решения могут совершенно различными - вывод из эксплуатации, продажа (смена собственника), расторжение договора аренды, технологические изменения (изменилась сфера функционирования) ИС/АСУ/ИТКС.

Исходные данные: имеем ОКИИ, по которому принято решение об отсутствии необходимости присвоения ему одной из категорий значимости. Результаты категорирования направлены в ФСТЭК, проверены и подтверждены ФСТЭК.

Типовой ответ ФСТЭК России
Типовой ответ ФСТЭК России

Специально выделил фрагменты текста, которые часто ускользают при обсуждении. Учет незначимых ОКИИ ведет НКЦКИ.

Приказ ФСБ России от 24.07.2018 № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

2. Информация об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости.

Информация, указанная в пунктах 1 - 4 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденного приказом ФСБ России от 24 июля 2018 г. N 367 (далее - Перечень), представляется в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА) федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее - уполномоченный орган), путем ее направления в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) не реже раза в месяц и не позднее месячного срока с момента:

получения информации об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости;

Таким образом, в НКЦКИ сведения о незначимом ОКИИ, после проверки, направляет ФСТЭК России. ФСТЭК ведет учет исключительно значимых ОКИИ (реестр ЗОКИИ).

В действующем законодательстве процедура по исключению незначимых объектов КИИ не описана.

Предлагаемые действия:

1. Проводим заседание постоянно действующей комиссии по категорированию. Рассматриваем ситуацию и обоснование (приказ о выводе из эксплуатации, договор продажи/аренды и т.д.).

2. Оформляем протокол заседания Комиссии, в котором фиксируем:

Пример

"заслушан доклад начальника договорного отдела ФИО по факту прекращения договора аренды на АСУ "наименование" с такой то даты..

Установлено, что АСУ "наименование" решением Комиссии от "дата" отнесена к ОКИИ, утверждена "дата" в составе Перечня объектов КИИ, подлежащих категорированию под номером.. Комиссией принято решение об отсутствии необходимости присвоения ему одной из категорий значимости (акт категорирования №.. дата..). Сведения о результатах категорирования направлены в ФСТЭК России №исх.. дата.. Получено положительное решение ФСТЭК России "№вх от ..

РЕШИЛИ:

в связи с ....., АСУ "наименование", утратила признаки объекта КИИ организации "наименование".

исключить АСУ "наименование" из Перечня объектов КИИ организации "наименование".

признать акт категорирования от "дата" в отношении АСУ "наименование" недействительным с "дата".

Секретарю Комиссии обеспечить:

внесение изменений в Перечень объектов КИИ организации "наименование". Срок - ...

направление уведомления об исключении АСУ "наименование" из объектов КИИ организации "наименование". Срок - ...

Ответственный исполнитель готовит сопроводительное письмо в ФСТЭК России, с приложением протокола заседания Комиссии и копий подтверждающих документов.

Пример:

В связи с исключением АСУ "наименование" из объектов КИИ организации "наименование", просим уведомить о принятом решении Национальный координационный центр по компьютерным инцидентам. Приложение..

Важно: в законодательстве отсутствует обязанность субъекта КИИ согласовать такое решение с ФСТЭК России или с НКЦКИ. Вы просто уведомляете их о принятом решении.

Постарайтесь максимально обосновать и соблюсти логическую последовательность принятия решения Комиссии. Это минимизирует вопросы от ФСТЭК России и упростит работу органов власти.

Подготовьте ответ на запрос от ФСТЭК России: что с критическим процессом, функционирование которого ранее обеспечивал выводимый ОКИИ.

Пример:

Контракт № ... от ... в рамках Гособоронзаказа выполнен. Дальнейшая эксплуатация АСУ "наименование" проводится вне сфер, указанных
в 187-ФЗ.

Если вы перенесли функционал выводимого ОКИИ на другой ОКИИ, то необходимо провести повторную процедуру оценки показателей категории значимости для ОКИИ-заместителя.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019