Правим Перечень ОКИИ

9 December 2020
195 full reads
3 min.
366 story viewsUnique page visitors
195 read the story to the endThat's 53% of the total page views
3 minutes — average reading time
Презентация ФСТЭК России
Презентация ФСТЭК России

Ранее мы рассмотрели процедуру формирования и отправки Перечня объектов КИИ, подлежащих категорированию.

Но время идет и все меняется.

ФСТЭК обновила свое информационное сообщение от 2018 года, теперь действует Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611"ПО ВОПРОСАМ ПРЕДСТАВЛЕНИЯ ПЕРЕЧНЕЙ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ, ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ, И НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ ОБЪЕКТУ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОДНОЙ ИЗ КАТЕГОРИЙ ЗНАЧИМОСТИ ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ ПРИСВОЕНИЯ ЕМУ ОДНОЙ ИЗ ТАКИХ КАТЕГОРИЙ ".

А у субъекта КИИ произошли изменения в ИТ-ландшафте и возникла необходимость внести изменения в ранее утвержденный Перечень объектов КИИ, подлежащих категорированию (ОКИИ выведен из эксплуатации, проведена модернизация ОКИИ, решили изменить границы ОКИИ - укрупнить или раздробить).

Речь в заметке пойдет о процедуре внесения изменений в Перечень ОКИИ, ранее отправленный в ФСТЭК. Но до момента оформления и отправки в ФСТЭК результатов категорирования.

Важно: ФСТЭК не согласовывает и не утверждает Перечень ОКИИ! Никаких полномочий у ФСТЭК для этого в законодательстве не предусмотрено. Даже форма Перечня от ФСТЭК - рекомендуемая.

Презентация ФСТЭК России
Презентация ФСТЭК России

Согласно Постановления Правительства РФ от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений":

"По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения."

Таким образом, субъект КИИ организует заседание постоянно действующей комиссии по категорированию ОКИИ, по результатам которого оформляется протокол заседания.

1. Пример записи в протокол заседания при выводе ОКИИ из эксплуатации:

Заслушан доклад ведущего инженера ФИО о выводе из эксплуатации ИС "наименование", внесенной в Перечень объектов КИИ от "дата" в пункте "номер". Рассмотрены акты вывода из эксплуатации ИС "наименование" от "дата".

Приняли решение: исключить из Перечня объектов КИИ ИС "наименование", в связи с выводом из эксплуатации. Секретарю комиссии оформить изменения в Перечень объектов КИИ от "дата" и внести Генеральному директору "организации" на утверждение. Информировать ФСТЭК России о внесенных изменениях.

2. Пример записи в протокол заседания при модернизации:

Заслушан доклад ведущего инженера ФИО о проведении модернизации ИС "наименование" , внесенной в Перечень объектов КИИ от "дата" в пункте "номер". Рассмотрены приказ о проведении модернизации ИС "наименование" от "дата" и техническое задание/рабочий проект и т.д.

Приняли решение: в результате проводимых работ по модернизации, в ИС "наименование" прекращена обработка информации, необходимой для обеспечения выполнения критических процессов, и (или) осуществления управления, контроля или мониторинга критических процессов.

Исключить из Перечня объектов КИИ ИС "наименование", в связи с проводимой модернизацией. Секретарю комиссии оформить изменения в Перечень объектов КИИ от "дата" и внести Генеральному директору "организации" на утверждение. Информировать ФСТЭК России о внесенных изменениях.

Презентация ФСТЭК России
Презентация ФСТЭК России

2.1.Пример записи в протокол заседания при укрупнении объектов КИИ.

Заслушан доклад ведущего инженера ФИО об особенностях функционирования ИС "наименование№1" и "наименование №2 , внесенных в Перечень объектов КИИ от "дата" в пунктах "номер" и "номер".

Приняли решение: объединить ИС "наименование №1 и №2" в объект КИИ "наименование", функционирующий в сфере "наименование".

ИС "наименование №1 и №2" исключить из Перечня объектов КИИ, объект КИИ "наименование" включить в Перечень объектов КИИ. Секретарю комиссии оформить изменения в Перечень объектов КИИ от "дата" и внести Генеральному директору "организации" на утверждение. Информировать ФСТЭК России о внесенных изменениях.

Аналогично оформляется при необходимости "дробления" ранее поданного ОКИИ.

Презентация ФСТЭК России
Презентация ФСТЭК России

Бывает, что руководство субъекта КИИ меняет свою позицию по отнесению ИС к объектам КИИ. Формально, ничего не мешает "передумать", но такое решение руководителя субъекта КИИ вызовет вполне обоснованное противодействие ФСТЭК. Необходимо подготовить существенные аргументы к последующим беседам с представителями регулятора и прокуратуры (в рамках проверок). Помните, что у ФСТЭК остались следы прежнего решения - утвержденный руководителем организации Перечень объектов КИИ.

3. Пример записи в протокол заседания:

Заслушан доклад главного технолога ФИО об изменении технологического процесса "наименование", рассмотренного ранее на заседании комиссии от "дата" и обеспечиваемого ИС "наименование", внесенной в Перечень объектов КИИ от "дата" в пункте "номер".

Приняли решение: в результате проводимых работ, процесс "наименование" прекратил относиться к процессам в рамках выполнения функций (полномочий) или осуществления видов деятельности "наименование организации" в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - критическим процессам).

В ИС "наименование" прекращена обработка информации, необходимой для обеспечения выполнения критических процессов, и (или) осуществления управления, контроля или мониторинга критических процессов.

Исключить из Перечня объектов КИИ ИС "наименование". Секретарю комиссии оформить изменения в Перечень объектов КИИ от "дата" и внести Генеральному директору "организации" на утверждение. Информировать ФСТЭК России о внесенных изменениях.

Если Перечень объектов КИИ ранее вами согласовывался с вышестоящей организаций, то и внесение изменений необходимо согласовать до отправки в ФСТЭК России (Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.)

При внесении изменений в Перечень объектов КИИ, срок категорирования "обнуляется" и начинает отсчитываться по новому.

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов).

После утверждения руководителем субъекта КИИ обновленного Перечня объектов КИИ, необходимо подготовить письмо в центральный аппарат ФСТЭК России.

Пример:

В соответствии с п. 15 Постановления Правительства РФ от 08.02.2018 № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" направляем в ваш адрес утвержденный Перечень объектов критической информационной инфраструктуры, подлежащих категорированию организации "Наименование" после внесения изменений. Ранее направленное в ваш адрес письмо от "дата" №...."наименование письма" прошу считать недействительным.

Приложение: Перечень, протокол заседания комиссии от .., другие подтверждающие документы на выбор.

Вы можете направить только утвержденный Перечень, без дополнительных документов (протоколов заседаний и т.д.), так как законодательство по КИИ этого не требует от субъекта КИИ.

И помните, что это официальная переписка. Направлять в ФСТЭК заведомо недостоверные данные недопустимо. Это может быть квалифицированно как административное правонарушение по ст.19.7 КоАП РФ.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019