Иногда возникают ситуации в жизни субъекта КИИ, когда принимается решение пересмотреть акт об отсутствии необходимости присвоения категории значимости объекту КИИ. То есть, перевести не значимый объект КИИ в значимый. Рассмотрим ситуацию, после получения подтверждения от ФСТЭК.
Причины, побудившие такое решение могут быть разнообразные. Например: изменилось административно-территориальное устройство местности и стали применимы показатели значимости по территориальному признаку, изменение технологии производства, модернизация объекта КИИ, прошло 5 лет с момента категорирования и т.д.
В законодательстве такая ситуация не описана. ФСТЭК считает, что действовать необходимо по основной процедуре из Постановления Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", как будто не было первоначального категорирования.
Ответ на данный вопрос с 9.15 мин записи.
Основная проблема для субъекта КИИ возникнет после принятия КоАП с штрафами за нарушение сроков категорирования и создание СБ ЗОКИИ. Неоднозначность в трактовках сроков исполнения может повлечь неприятные последствия для субъекта КИИ.
Пункт 12 Ст.7 в 187-ФЗ указывает порядок пересмотра исключительно для ЗОКИИ
12. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования
Пункт 21 в ПП127 устанавливает срок пересмотра через 5 лет для НОКИИ
21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами.
Про модернизацию есть в 239 приказе ФСТЭК, но он на нас еще не распространяется. ОКИИ станет значимым только после внесения в Реестр ЗОКИИ и не раньше.
Процедура в ПП127 по вновь создаваемому объекту КИИ нам не подходит, так как у нас уже есть зафиксированный и прокатегорированный объект КИИ.
Так как срок направления сведений о присвоении категории значимости жестко привязан к дате утверждения акта категорирования, то у субъекта КИИ остается немного времени на выполнение 235/239 приказов ФСТЭК (10 рабочих дней+30 календарных).
Совет: не составляйте и не утверждайте акт категорирования с присвоением категории значимости незначимому ОКИИ. Проведите заседание постоянно действующей комиссии по категорированию, в протокол заседания внесите решение о предварительной категории значимости ОКИИ (пересмотр прежнего решения). На основании этого решения инициируете создание СБ ЗОКИИ и выполнение 239 приказа для выбранной категории значимости. Не забываем про приказы ФСБ для ЗОКИИ. И только после готовности к выполнению всех требований обеспечения безопасности ЗОКИИ, проводите очередное заседание постоянно действующей комиссии по категорированию с составлением акта категорирования. Утверждаете акт категорирования, оформляете результаты по форме 236 приказа ФСТЭК и направляете в центральный аппарат ФСТЭК России в течении 10 рабочих дней.
Помните, что вам будет необходимо заполнять раздел 9 формы 236 приказа ФСТЭК "Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры", а ФСТЭК уже сейчас негативно воспринимает отсутствие реализованных мер на этапе категорирования.
Никакой отсрочки исполнения требований по обеспечению безопасности ЗОКИИ не существует. Прокуратура начинает прессинг сразу.
Отдельный момент, который стоит учесть при таком переводе с НОКИИ в ЗОКИИ, - это использование сети связи общего доступа. Для ЗОКИИ предусмотрена отдельная процедура, а под исключение вы уже не попадете. Смотрите Приказ ФСТЭК России от 28.05.2020 N 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования".
P.S. Подготовку к пересмотру результатов категорирования необходимо начинать заранее, не дожидаясь истечения 5 лет. Минимум за год провести предварительную оценку. Учесть все произошедшие изменения в законодательстве страны (не только КИИ), накопленный опыт ФСТЭК. То что многие субъекты КИИ проскочили сквозь проверку ФСТЭК в начале пути 187-ФЗ, совершенно не означает, что получится повторить этот фокус еще раз. И времени на создание СБ ЗОКИИ уже не будет.
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019
