Перевод ЗОКИИ в незначимые ОКИИ

3 June 2020
424 full reads
763 story viewsUnique page visitors
424 read the story to the endThat's 56% of the total page views
2 minutes — average reading time

Довольно распространенной получилась ситуация, когда субъект КИИ при определении категории значимости своих объектов КИИ не учел всех последствий своего решения о присвоении категории значимости. В течении 2018-2019 годов утвердил акт категорирования, направил результаты категорирования по форме 236 приказа ФСТЭК, благополучно прошел проверку ФСТЭК и получил официальное подтверждение о внесении объектов КИИ в Реестр ЗОКИИ. И вот теперь субъект КИИ передумал и хочет исключить свои объекты из этого Реестра ФСТЭК до истечения стандартного 5 летнего срока пересмотра категории значимости.

В законодательстве этот процесс прописан таким образом:

187-ФЗ. Статья 7 "Категорирование объектов критической информационной инфраструктуры"

12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:"

2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;"

Приказ ФСТЭК России от 06.12.2017 № 227

"Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации"

10. В случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, и ему не может быть присвоена ни одна из категорий значимости, субъект критической информационной инфраструктуры должен направить об этом сведения в ФСТЭК России.

На основании сведений, представленных субъектом критической информационной инфраструктуры, объект критической информационной инфраструктуры исключается из Реестра.

Таким образом, просто пересмотр показателей значимости в сторону уменьшения недостаточен. В ФСТЭК потребуется подать информацию о причинах такого снижения показателей категории значимости, с приложением подтверждающих документов. При этом надо понимать, что ФСТЭК не заинтересована в подобных исключениях из Реестра (ухудшается отчетность и статистика, сужение зоны государственного контроля) и обоснования должны быть существенными и правильно оформленными.

Алгоритм действий субъекта КИИ:

1. Анализируете информацию, которой руководствовалась комиссия по категорированию при определении показателя значимости. Какая конкретно характеристика ИС/АСУ/ИТКС привела к превышению показателя.

2. Определяете пути изменения этой характеристики объекта в нужную сторону. Например, через уменьшение масштаба объекта КИИ - дробление информационной системы на несколько.

3. Издаете приказ о модернизации ЗОКИИ

4. Разрабатываете проект модернизации, в котором явно наблюдается изменение характеристики, по анализу которой отнесли к ЗОКИИ

5. Издаете приказ о приемке в эксплуатацию модернизированной ИС/АСУ/ИТКС.

6. Проводите заседании комиссии по категорированию и оформляете акт категорирования с нужным результатом.

7. Оформляете по 236 приказу результаты категорирования.

8. Направляете в ФСТЭК с сопроводительным письмом. Прикладываете копию приказа о модернизации и приемке в эксплуатацию, форму с результатами категорирования.

8. Отвечаете на дополнительные запросы ФСТЭК.

9. Получаете подтверждение от ФСТЭК об исключении объекта КИИ из Реестра.

  • Не забываем про наличие формального требования 235/239 приказов ФСТЭК по обеспечению безопасности ЗОКИИ на всех стадиях жизненного цикла, включая модернизацию. Пока объект КИИ не исключен из Реестра ФСТЭК, он остается значимым ОКИИ.

Это потребует от субъекта КИИ:

10. Назначить ответственных лиц за обеспечение безопасности ЗОКИИ при проведении модернизации.

11. Разработать и утвердить план обеспечения безопасности ЗОКИИ при проведении модернизации.

12. Включить в проект модернизации ЗОКИИ раздел по безопасности ЗОКИИ.

13. Подтверждение соответствия требованиям безопасности после модернизации.

14. Если способ изменения ЗОКИИ более радикальный - полный вывод из эксплуатации, то необходимо оформить документы подтверждающие выполнение п.14 239 приказа ФСТЭК.

Пока еще нет ответственности за несоблюдение 235/239 приказа ФСТЭК, но наличие вышеприведенных документов позволит упростить общение с ФСТЭК по исключению ЗОКИИ из Реестра.

И есть более радикальный способ, но вполне традиционный для коммерческих организаций в нашей стране - ликвидация и создание нового юридического лица.

3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности"