Вообще мне впору сейчас писать заметки про Уральский форум, замечательную программу, интересные доклады и мастер-классы, а также новые веяния в регулировании финансовой отрасли, но я решил отложить это на следующую неделю. А эту заметку посвящу новости, которая вызвала большое обсуждение в Фейсбуке, в Телеграме, да и на форуме в Магнитогорске тоже. Причем реакция некоторых банкиров меня удивила - для них тема КИИ оказалась чем-то новым и ранее неизведанным. Они спрашивали, а что, мы тоже относимся к КИИ и должны выполнять требования ФЗ-187? Так что отчасти моя заметка будет касаться и того, что сегодня как раз должно обсуждаться на одной из сессий форума.
Речь идет о громком заявлении ФСТЭК, прозвучавшем в среду на конференции "Актуальные вопросы защиты информации" в контексте выполнения требований нового ПП-127 о категорировании объектов КИИ. В заметке, которую я опубликовал как раз в среду, я упомянул, что из финального варианта ПП-127 исчез пункт о том, что на составление перечня объектов КИИ выделяется 6 месяцев, после чего этот перечень согласовывается с отраслевым регулятором и в течение года проводится категорирование объектов КИИ. Так вот ФСТЭК заявила, что перечень объектов надо составить до... 23 февраля 2018-го года. То есть на все осталось 7 дней, включая выходные. 7 дней на составление перечня объектов КИИ!
Почему 23-е февраля и где это написано? Нигде! Этот срок нигде не указан. Он, насколько я понял, вытекает из мнения, что Постановления Правительства вступают в силу через 10 дней после официального опубликования, которое для ПП-127 было 13-го февраля. На самом деле через 10 дней вступают в силу федеральные законы (если срок не оговорен особо), а Постановления Правительства вступают в силу через 7 дней после официального опубликования. Хорошо, что не все знают про 7 дней, а то бы перечень надо было составить не к 23-му, а к 20-му февраля :-) Раз больше в ПП-127 не говорится о сроке подготовки перечня, то... и вот тут моя логика дает сбой. Я не могу найти ни одного обоснования, почему 23 февраля?
ПП-127 вступает в силу только 20-го февраля (ну, допустим, 23-го, если иметь ввиду срок в 10 дней). До этого момента никаких юридических оснований заниматься категорированием и составлением перечня у субъекта КИИ нет. Он не должен ничего делать раньше установленного срока. К тому же хочу отметить, что составление перечня объектов - это 4-й пункт в процедуре категорирования. До этого надо определить все процессы, выделить из них критические, определить объекты и только потом составить их перечень и утвердить его (а еще и соответствующую комиссию надо создать). Направить утвержденный перечень надо в ФСТЭК в течение 5 рабочих дней после утверждения. То есть если ПП-127 вступает в силу 20 февраля, то "в течение пяти рабочих дней" - это 28 февраля, а не 23-е. Понятно, что в условиях цейтнота можно первыми тремя этапами пожертвовать и сразу составить полный перечень всех ИС и АСУ и отправить его отраслевому регулятору, но все равно срок на составление такого перечня оооочень маленький.
Но есть еще один момент, на который я бы обратил внимание. Согласно п.15 ПП-127 после составления перечня он утверждается субъектом КИИ и только потом согласовывается с отраслевым регулятором. Но... госорганы у нас обычно отвечают на запросы (и это если повезет) в течение 30 дней, а через пять дней после утверждения перечень уже должен быть направлен в ФСТЭК, что невозможно выполнить чисто физически. Даже если бы не было даты 23-го февраля. Тут или не согласовывать с отраслевым регулятором, нарушая одно требование ПП-127, или не успеть за 5 дней направить перечень в ФСТЭК, нарушая другое требование.
Что же, блин, делать? Нарушать! Вы ничего не можете поделать. Вы все равно, но какой-нибудь пункт ПП-127, но нарушите (ответственности за это никакой). Поэтому я бы (мне легко советовать, да, я не субъект КИИ) следовал процедуре, описанной в ПП-127. Составил бы перечень объектов КИИ, отправил бы его отраслевому регулятору на согласование и потом направил бы перечень в ФСТЭК. Но если честно, то этот перечень в текущей формулировке ПП-127 нафиг никому не нужен. Обратите внимание. Вы направляете перечень в ФСТЭК и... все! На этом данная ветвь ПП-127 завершается. ФСТЭК ничего не делает с этим перечнем. ФСТЭК ждет от вас сведений о категорировании, которые вы должны направить регулятору в течение года с момента вступления в силу ПП-127, то есть до 20 февраля (ну или 23-го, если мы уж так привязались к этой дате) 2019 года, которые затем заносятся в соответствующий реестр. Именно категорирование является целью ПП-127, а не составление какого-то перечня, который никому не нужен - ни вам, ни ФСТЭК, ни отраслевому регулятору.
Однако, закон есть закон. И коль скоро с отраслевым регулятором надо что-то согласовать, то лучше это сделать, так как это будет доказательством того, что вы не бьете баклуши, а реально выполняете требования законодательства. И отправку перечня отраслевому регулятору лучше не затягивать. Причина тому выбору Президента, которые состоятся 18 марта. Потом будет инагурация, потом Правительство по закону должно уйти в отставку, потом будет формирование Правительства, потом его согласование. Если какие-то ФОИВ исчезнут или сменят своего руководителя (а это вполне реально), то начнется неразбериха с подчиненностью исчезнувших ФОИВ, сменой команд в министерствах, выработкой новых/старых правил игры и т.д. Процедура эта небыстрая. Лучше согласование перечня завершить до выборов. Хотя до них уже и осталось меньше 30 дней, выделенных на ответ ФОИВ на запросы.
ЗЫ. Кстати, косяков с законодательством по безопасности КИИ будет еще много. Очень уж оно сырое, что и понятно - в такие сроки нельзя написать что-то достойное и без ошибок. Но тут уж ничего не поделаешь...
ЗЗЫ. Есть мнение, что согласование перечня нужно только подведомственным каким-то ФОИВ предприятиям и коммерческие предприятия сюда не попадают. Это должно вытекать из того же п.15. Но меня в той формулировке смущает фраза не только про госорган, выполняющий функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, но и про такое же российское юрлицо. Если бы приписки про юрлицо (может это Центробанк?) не было, можно было бы согласиться с этой удобной для коммерческих субъектов версией. В итоге надо внимательно читать полномочия отраслевых регуляторов - на кого распространяется их право по выработке госполитики. Например, тот же Минкомсвязь у нас вырабатывает госполитику в области ПДн, то есть является "главным" для всех операторов ПДн...
Речь идет о громком заявлении ФСТЭК, прозвучавшем в среду на конференции "Актуальные вопросы защиты информации" в контексте выполнения требований нового ПП-127 о категорировании объектов КИИ. В заметке, которую я опубликовал как раз в среду, я упомянул, что из финального варианта ПП-127 исчез пункт о том, что на составление перечня объектов КИИ выделяется 6 месяцев, после чего этот перечень согласовывается с отраслевым регулятором и в течение года проводится категорирование объектов КИИ. Так вот ФСТЭК заявила, что перечень объектов надо составить до... 23 февраля 2018-го года. То есть на все осталось 7 дней, включая выходные. 7 дней на составление перечня объектов КИИ!
Почему 23-е февраля и где это написано? Нигде! Этот срок нигде не указан. Он, насколько я понял, вытекает из мнения, что Постановления Правительства вступают в силу через 10 дней после официального опубликования, которое для ПП-127 было 13-го февраля. На самом деле через 10 дней вступают в силу федеральные законы (если срок не оговорен особо), а Постановления Правительства вступают в силу через 7 дней после официального опубликования. Хорошо, что не все знают про 7 дней, а то бы перечень надо было составить не к 23-му, а к 20-му февраля :-) Раз больше в ПП-127 не говорится о сроке подготовки перечня, то... и вот тут моя логика дает сбой. Я не могу найти ни одного обоснования, почему 23 февраля?
ПП-127 вступает в силу только 20-го февраля (ну, допустим, 23-го, если иметь ввиду срок в 10 дней). До этого момента никаких юридических оснований заниматься категорированием и составлением перечня у субъекта КИИ нет. Он не должен ничего делать раньше установленного срока. К тому же хочу отметить, что составление перечня объектов - это 4-й пункт в процедуре категорирования. До этого надо определить все процессы, выделить из них критические, определить объекты и только потом составить их перечень и утвердить его (а еще и соответствующую комиссию надо создать). Направить утвержденный перечень надо в ФСТЭК в течение 5 рабочих дней после утверждения. То есть если ПП-127 вступает в силу 20 февраля, то "в течение пяти рабочих дней" - это 28 февраля, а не 23-е. Понятно, что в условиях цейтнота можно первыми тремя этапами пожертвовать и сразу составить полный перечень всех ИС и АСУ и отправить его отраслевому регулятору, но все равно срок на составление такого перечня оооочень маленький.
Но есть еще один момент, на который я бы обратил внимание. Согласно п.15 ПП-127 после составления перечня он утверждается субъектом КИИ и только потом согласовывается с отраслевым регулятором. Но... госорганы у нас обычно отвечают на запросы (и это если повезет) в течение 30 дней, а через пять дней после утверждения перечень уже должен быть направлен в ФСТЭК, что невозможно выполнить чисто физически. Даже если бы не было даты 23-го февраля. Тут или не согласовывать с отраслевым регулятором, нарушая одно требование ПП-127, или не успеть за 5 дней направить перечень в ФСТЭК, нарушая другое требование.
Что же, блин, делать? Нарушать! Вы ничего не можете поделать. Вы все равно, но какой-нибудь пункт ПП-127, но нарушите (ответственности за это никакой). Поэтому я бы (мне легко советовать, да, я не субъект КИИ) следовал процедуре, описанной в ПП-127. Составил бы перечень объектов КИИ, отправил бы его отраслевому регулятору на согласование и потом направил бы перечень в ФСТЭК. Но если честно, то этот перечень в текущей формулировке ПП-127 нафиг никому не нужен. Обратите внимание. Вы направляете перечень в ФСТЭК и... все! На этом данная ветвь ПП-127 завершается. ФСТЭК ничего не делает с этим перечнем. ФСТЭК ждет от вас сведений о категорировании, которые вы должны направить регулятору в течение года с момента вступления в силу ПП-127, то есть до 20 февраля (ну или 23-го, если мы уж так привязались к этой дате) 2019 года, которые затем заносятся в соответствующий реестр. Именно категорирование является целью ПП-127, а не составление какого-то перечня, который никому не нужен - ни вам, ни ФСТЭК, ни отраслевому регулятору.
Однако, закон есть закон. И коль скоро с отраслевым регулятором надо что-то согласовать, то лучше это сделать, так как это будет доказательством того, что вы не бьете баклуши, а реально выполняете требования законодательства. И отправку перечня отраслевому регулятору лучше не затягивать. Причина тому выбору Президента, которые состоятся 18 марта. Потом будет инагурация, потом Правительство по закону должно уйти в отставку, потом будет формирование Правительства, потом его согласование. Если какие-то ФОИВ исчезнут или сменят своего руководителя (а это вполне реально), то начнется неразбериха с подчиненностью исчезнувших ФОИВ, сменой команд в министерствах, выработкой новых/старых правил игры и т.д. Процедура эта небыстрая. Лучше согласование перечня завершить до выборов. Хотя до них уже и осталось меньше 30 дней, выделенных на ответ ФОИВ на запросы.
ЗЫ. Кстати, косяков с законодательством по безопасности КИИ будет еще много. Очень уж оно сырое, что и понятно - в такие сроки нельзя написать что-то достойное и без ошибок. Но тут уж ничего не поделаешь...
ЗЗЫ. Есть мнение, что согласование перечня нужно только подведомственным каким-то ФОИВ предприятиям и коммерческие предприятия сюда не попадают. Это должно вытекать из того же п.15. Но меня в той формулировке смущает фраза не только про госорган, выполняющий функции по разработке, проведению и реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, но и про такое же российское юрлицо. Если бы приписки про юрлицо (может это Центробанк?) не было, можно было бы согласиться с этой удобной для коммерческих субъектов версией. В итоге надо внимательно читать полномочия отраслевых регуляторов - на кого распространяется их право по выработке госполитики. Например, тот же Минкомсвязь у нас вырабатывает госполитику в области ПДн, то есть является "главным" для всех операторов ПДн...
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.