ФСТЭК разместила очередной проект изменений в Порядок категорирования объектов КИИ.
Сами изменения направлены на развитие системы контроля/мониторинга за субъектами КИИ, теперь и со стороны отраслевых органов власти.
Постановление Правительства РФ от 24.12.2021 № 2431 «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» вступило в силу 4 января 2022 года и поставила задачи про мониторингу за результатами категорирования субъектов КИИ в отрасли на органы власти.
А уже 14 января 2022 г ФСТЭК получила указание внести очередные изменения в ПП127 и позволить выполнить органам власти эту задачу с привлечением подведомственных организаций (поручение Председателя Правительства Российской Федерации от 14 января 2022 г. № ММ-П13-14сс).
Как правильно заметили участники обсуждения новости в телеграм-канале, речь идет о возможности привлечения отраслевых центров ГосСОПКА.
К удивлению, я не смог открыть вложенный в карточку на портале проект НПА, по этому заметка написана по тексту проекта, полученного альтернативным путем.
Правительство Российской Федерации п о с т а н о в л я е т:
дополнить Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (Собрание законодательства Российской Федерации, 2018, № 8, ст. 1204; 2019, № 16, ст. 1955; 2022, № 1, ст. 140), пунктом 193 следующего содержания:
«19.3. К мониторингу, указанному в пункте 19.2 настоящих Правил, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, могут привлекать подведомственные им организации для проведения дополнительных периодических проверок полноты и достоверности сведений, указанных в подпунктах «а» - «е» пункта 17 настоящих Правил (далее – дополнительные периодические проверки).
Организации, привлекаемые к дополнительным периодическим проверкам, должны иметь в соответствии с Законом Российской Федерации «О государственной тайне» лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также в соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» лицензию на деятельность по технической защите конфиденциальной информации.
Состав организаций, привлекаемых к дополнительным периодическим проверкам, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Порядок проведения в отношении субъектов критической информационной инфраструктуры, осуществляющих деятельность в каждой из областей (сфер), приведенных в пункте 8 статьи 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», дополнительных периодических проверок определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в соответствующей установленной сфере деятельности.».
Предложение ФСТЭК довольно примечательно.
Сейчас органы власти осуществляют мониторинг "регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в подпунктах "а" - "е" пункта 17 настоящих Правил."
На подведомственные организации предлагается возложить задачи: "для проведения дополнительных периодических проверок полноты и достоверности сведений, указанных в подпунктах «а» - «е» пункта 17 настоящих Правил".
Как бы формулировки задач различаются у органов власти и подведомственных организаций. И больше похоже, что подведомственные организации будут более углубленно проверять сведенья от субъектов КИИ.
Замечу, что в 187-ФЗ не предусмотрено никаких дополнительных периодических проверок результатов категорирования, кроме государственного контроля ФСТЭК за ЗОКИИ. Нет там и отраслевых органов власти, не говоря уж о подведомственных организациях.
Требования о наличии лицензии ТЗКИ у отраслевого исполнителя не обосновано. Непонятно какой вид лицензируемой деятельности выполняется исполнителем при проведении оценки полноты и достоверности из сведений о результатах категорирования субъекта КИИ?
И самое примечательное, что органам власти предстоит выпустить свои отраслевые документы, которые определят Порядок проведения в отношении субъектов КИИ, осуществляющих деятельность в каждой из областей (сфер), дополнительных периодических проверок.
Субъектам КИИ не позавидуешь, количество проверяющих/надзорных структур все увеличивается. И количество НПА будет только расти.
Пишите комментарии, ставьте лайки и подписывайтесь на канал "Клуб любителей КИИ". Нас ждет еще много интересного и полезного.
#кии #187-фз #зокии
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019