Алексей Филиппов, методолог AKTIV.CONSULTING, подготовил краткие тезисы выступления и дискуссии с залом представителя ФСТЭК России Михаила Марченко на пленарной сессии мероприятия. В докладе шла речь о последних изменениях в нормативных правовых актах в сфере КИИ, статистике проведения государственного контроля за субъектами КИИ и нарушений законодательства в части КИИ. По завершении слушатели задали эксперту наиболее актуальные и животрепещущие вопросы, связанные с трактовкой требований регуляторов к субъектам КИИ.
Каковы сроки разработки и предоставления во ФСТЭК России документов при пересмотре категорий?
Постановлением Правительства РФ №127 предписывается необходимость пересмотра категорий не реже одного раза в пять лет. Однако, сроки предоставления документов во ФСТЭК России, исчисляемые с момента пересмотра, как это указано, например, для Перечня ОКИИ и Сведений по результатам категорирования, не определены. По мнению Михаила Марченко, в силу того, что сроки передачи не регламентированы, целесообразно делать это в максимально короткие сроки.
Оповещаются ли субъекты КИИ о государственном контроле, проводимом спустя три года с момента внесения ЗОКИИ в реестр значимых?
Представитель ФСТЭК России пояснил, что субъекты, подлежащие проверке, включаются в списки и оповещаются заранее, в срок не позднее 1 января назначенного года проверки.
Как и когда происходит проверка субъектов, если после внесения в реестр одних ЗОКИИ, спустя некоторое время, в реестр вносятся дополнительные ЗОКИИ того же субъекта?
По мнению Михаил Марченко, проверка такого субъекта будет осуществлена спустя 3 года с момента последнего внесения ЗОКИИ в реестр. При возникновении ситуации, когда проверка будет инициирована спустя 3 года после внесения в реестр первых ЗОКИИ, проверяться будут лишь эти ЗОКИИ, а те, что были внесены в реестр ЗОКИИ позднее, скорее всего затронуты при проверке не будут.
Одним из самых животрепещущих вопросов, заданных представителю ФСТЭК России, был вопрос о том, какие же именно объекты КИИ необходимо включать в перечень для направления в федеральный орган.
Представитель ФСТЭК России ответил, что согласно п.3 Постановления Правительства РФ №127 в Перечень ОКИИ, подлежащих категорированию, необходимо включать именно те объекты, которые обеспечивают критические процессы организации, в рамках их сферы деятельности. Однако, эксперт согласился, что по данному утверждению уже давно ведутся дискуссии, и расхождения в требованиях действительно есть. Так в Федеральном законе 187-ФЗ указано, что объекты КИИ – это все ИС, АСУ, ИТКС организации, что предполагает включение в перечень всех объектов, а не только лишь обеспечивающих критические процессы.
В качестве резюме по итогам выступления представителя ФСТЭК России на конференции АБИСС эксперт AKTIV.CONSULTING рекомендует подходить в задаче категорирования комплексно. Для любой организации, будь она субъект КИИ или нет, будет хорошим тоном знать свои активы, процессы и специфику основной производственной деятельности, а также проведение периодической актуализации сведений. Ведь показатели значимости могут изменяться, и определенные процессы могут перейти в разряд «критических».