69 подписчиков

О проекте Методических рекомендаций по категорированию объектов критической информационной инфраструктуры сферы здравоохранения

1 сентября 20201 сен 2020

2 мин

Документ, мне понравился, но хотелось бы его немного покритиковать, особенно, учитывая, что это все ещё проект, как следствие, есть возможность поправить огрехи. Ознакомиться с оригиналом проекта можно здесь. Не будем ходить вокруг да около и сразу к делу. Что, на мой взгляд, противоречит Федеральному закону от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры» (см. ст. 2). Вероятно, подразумевалось, что категорирование в соответсвии с ПП-127 надо проводить не в отношении всех ОКИИ. Конечно, эта мысль тоже в какой-то степени может быть подвергнута критике. Хотя законодатель в ПП-127 на это действие отводит 10 дней. На мой взгляд существует коллизия между утверждением положения о создаваемой комиссии и указанием на то, что комиссия должна строго руководствоваться ПП-127. Какой тогда смысл в положении о комиссии, если она будет руководствоваться именно ПП-127? Собственно, именно в таком ключе и представлялось спорным данное положение и в иных аналогичны

Документ, мне понравился, но хотелось бы его немного покритиковать, особенно, учитывая, что это все ещё проект, как следствие, есть возможность поправить огрехи.

Ознакомиться с оригиналом проекта можно здесь.

Не будем ходить вокруг да около и сразу к делу.

Рассматриваемыми рекомендациями, как это сложилось традиционно с подобного рода документами, предполагается обложить процесс категорирования бумагами в объёме, превышающем установленный Правилами категорирования..., утверждёнными постановлением Правительства РФ от 8 февраля 2018 г. № 127 (далее - ПП-127). Конечно, это не однозначный минус.
Пункт 54 рассматриваемых Рекомендаций содержит прямое указание на то, что не все ИС/ИТС/АСУ субъекта КИИ являются ОКИИ.

Что, на мой взгляд, противоречит Федеральному закону от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры» (см. ст. 2).

Вероятно, подразумевалось, что категорирование в соответсвии с ПП-127 надо проводить не в отношении всех ОКИИ. Конечно, эта мысль тоже в какой-то степени может быть подвергнута критике.

В пункте 59 на отправку Перечня ОКИИ, подлежащих категорированию, отводят всего 5 рабочих дней.

Хотя законодатель в ПП-127 на это действие отводит 10 дней.

Возможно, состав актуальных инцидентов следует рассматривать с учётом того, что предлагает НКЦКИ.
В пункте 94 необходимо отметить, что сведения о результатах категориования необходимо не оформить в течение 10 дней с момента утверждения акта категориования, но направить в ФСТЭК России.
Довольно спорной представляется предложенная форма приказа «О создании постоянно действующей комиссии по категориованию объектов КИИ».

Скриншот из рассматриваемых Рекомендаций

На мой взгляд существует коллизия между утверждением положения о создаваемой комиссии и указанием на то, что комиссия должна строго руководствоваться ПП-127.

Какой тогда смысл в положении о комиссии, если она будет руководствоваться именно ПП-127? Собственно, именно в таком ключе и представлялось спорным данное положение и в иных аналогичных методиках.

Пожалуй, из минусов все.

Отдельно из положительного стоит отметить, что в данных рекомендациях раскрывается, что же может относиться к АСУ в сфере здравоохранения, а также приводятся заготовки обоснований неприменимости тех или иных показателей критериев значимости.

В целом, документ получился, на мой взгляд, довольно удачным, конкретным, легко воспринимаемым (читается хорошо). Возможно, его целесообразно применять не только организациям из сферы здравоохранения.

Жалко, конечно, что выходит от не совсем своевременно.

P.S.: Кстати, если перейти в Telegram-канал «Листок бюрократической защиты информации», то можно найти обзоры на другие методики категориования.