N
Вопрос - если представленный перечень ОКИИ во ФСТЭК не отражает реального положения ИС/АСУ на предприятии то какие предпосылки?
Size: a a a
2020 March 17
N
Т.е. по факту перечень представлен неполный...
АС
N S M
Вопрос - если представленный перечень ОКИИ во ФСТЭК не отражает реального положения ИС/АСУ на предприятии то какие предпосылки?
N
Я имею ввиду не это, а административные последствия...
АС
N S M
Я имею ввиду не это, а административные последствия...
Пока никаких.
П
N S M
Вопрос - если представленный перечень ОКИИ во ФСТЭК не отражает реального положения ИС/АСУ на предприятии то какие предпосылки?
Предположу, что последствия могут наступить, если произойдет инцидент на том объекте КИИ, который Вы не учли. И если он будет иметь последствия, которые описаны в пп 127, то наверняка к Вам возникнут вопросы, почему Вы этого не учли.
П
Надеюсь, что доступно изложил мысль))
N
Павел
Надеюсь, что доступно изложил мысль))
Для меня вполне, руководство субъекта КИИ считает иначе))
П
А кто назначен председателем комиссии по кии, Вы или руководитель субъекта?
П
На сколько мне известно(если я ошибаюсь, думаю коллеги поправят) председатель комиссии и будет отвечать за последствия.
П
Если корректнее, председатель комиссии по категорированию за итог категорирования. А за инцидент, ответственный за обеспечение безопасности ЗОКИИ. ИМХО
DK
Павел
А кто назначен председателем комиссии по кии, Вы или руководитель субъекта?
Решения комиссии утверждает лично руководитель организации, и он несёт ответственность за эти решения.
Соскочить с ответственности он сможет только в том случае, если его ввели в заблуждение (например, если в материалах работы комиссии не упоминаются те системы, которые не попали в перечень).
Смотрите судебную практику по пожарной безопасности, там точно такая же ситуация.
Соскочить с ответственности он сможет только в том случае, если его ввели в заблуждение (например, если в материалах работы комиссии не упоминаются те системы, которые не попали в перечень).
Смотрите судебную практику по пожарной безопасности, там точно такая же ситуация.
П
Решения комиссии утверждает лично руководитель организации, и он несёт ответственность за эти решения.
Соскочить с ответственности он сможет только в том случае, если его ввели в заблуждение (например, если в материалах работы комиссии не упоминаются те системы, которые не попали в перечень).
Смотрите судебную практику по пожарной безопасности, там точно такая же ситуация.
Соскочить с ответственности он сможет только в том случае, если его ввели в заблуждение (например, если в материалах работы комиссии не упоминаются те системы, которые не попали в перечень).
Смотрите судебную практику по пожарной безопасности, там точно такая же ситуация.
На сколько я помню, решение комиссии утверждает председатель комиссии, которого в нашем случае назначили зама приказом. Соответственно он его и подпишет. (не подумайте,что спорю ради спора) Посмотрю где это написано и выложу, так как пока нечем аргументировать. Заране благодарю за понимание
DK
Павел
На сколько я помню, решение комиссии утверждает председатель комиссии, которого в нашем случае назначили зама приказом. Соответственно он его и подпишет. (не подумайте,что спорю ради спора) Посмотрю где это написано и выложу, так как пока нечем аргументировать. Заране благодарю за понимание
Нет.
Перечень объектов утверждает "субъект КИИ" (п. 15 правил). Это означает, что утверждающую подпись ставит или сам руководитель, или его представитель (например, председатель комиссии), который должен иметь доверенность на подписание документов данного типа. А по закону всю ответственность за действия своего представителя несёт доверитель.
А акты категорирования руководитель обязан утверждать лично (п. 16 правил)
Перечень объектов утверждает "субъект КИИ" (п. 15 правил). Это означает, что утверждающую подпись ставит или сам руководитель, или его представитель (например, председатель комиссии), который должен иметь доверенность на подписание документов данного типа. А по закону всю ответственность за действия своего представителя несёт доверитель.
А акты категорирования руководитель обязан утверждать лично (п. 16 правил)
DK
И снова - смотрите судебную практику по пожарке, там таких попыток переложить ответственность вагон и маленькая тележка :)
П
Смотрите, акт категорирования, если я правильно понял, будет приложением к результату заседаний комиссии. Результат подпишет зам(в нашем случае). Получается что и акты автоматически тоже. Как тогда нам поступить юридически грамотно? Получается не может председателем быть зам? Или оформить как то по другому? Поясните пожалуйста по возможности
DK
Павел
Смотрите, акт категорирования, если я правильно понял, будет приложением к результату заседаний комиссии. Результат подпишет зам(в нашем случае). Получается что и акты автоматически тоже. Как тогда нам поступить юридически грамотно? Получается не может председателем быть зам? Или оформить как то по другому? Поясните пожалуйста по возможности
Поясняю :) "Подпишет" и "утвердит" - это две большие разницы.
Есть порядок управления юрлицом (неважно, это коммерсы или госорган). Этот порядок установлен в ГК РФ. От имени юрлица действуют его органы, указанные в его уставе, например - директор. Могут быть и другие органы, если они указаны в уставе. Эти органы исполняют обязанности юрлица, установленные нормативными актами.
Т.е. если в ПП127 про перечень объектов написано "утверждает субъект", то его утверждает директор - если он единоличный исполнительный орган юрлица. Или другой орган, указанный в уставе.
Директор может доверить сотруднику подписание документов, и для этого он оформляет на этого сотрудника доверенность. Например, мне доверено утверждение отчетных документов по проектам, а нашему руководителю юрслужбы - подписание договоров с заказчиками. Но в этом случае мы - всего лишь представители, действующие от имени директора. Моя утверждающая подпись на отчёте - это утверждение отчёта директором.
Так же и с председателем комиссии:
- если у него нет доверенности на подписание перечня - он вообще не может ставить свою утверждающую подпись;
- если директор доверил ему подписание, то его утверждающая подпись на перечне - это утверждение перечня директором.
Для того, чтобы обязанности и ответственность легли на председателя комиссии, он должен стать органом юрлица - его роль должна быть указана в уставе организации.
Есть порядок управления юрлицом (неважно, это коммерсы или госорган). Этот порядок установлен в ГК РФ. От имени юрлица действуют его органы, указанные в его уставе, например - директор. Могут быть и другие органы, если они указаны в уставе. Эти органы исполняют обязанности юрлица, установленные нормативными актами.
Т.е. если в ПП127 про перечень объектов написано "утверждает субъект", то его утверждает директор - если он единоличный исполнительный орган юрлица. Или другой орган, указанный в уставе.
Директор может доверить сотруднику подписание документов, и для этого он оформляет на этого сотрудника доверенность. Например, мне доверено утверждение отчетных документов по проектам, а нашему руководителю юрслужбы - подписание договоров с заказчиками. Но в этом случае мы - всего лишь представители, действующие от имени директора. Моя утверждающая подпись на отчёте - это утверждение отчёта директором.
Так же и с председателем комиссии:
- если у него нет доверенности на подписание перечня - он вообще не может ставить свою утверждающую подпись;
- если директор доверил ему подписание, то его утверждающая подпись на перечне - это утверждение перечня директором.
Для того, чтобы обязанности и ответственность легли на председателя комиссии, он должен стать органом юрлица - его роль должна быть указана в уставе организации.
П
Очень доходчиво и понятно! Благодарю за уделённое мне время! 🤝
2020 March 18
N
Возник вопрос - вопрос есть ли по нему разъяснение и позиция ФСТЭК документально зафиксированная - п.Г. п.14 Правил категорирование объектов ...ПП РФ 127 от 8.02.2018 цитата " рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации" - чем руководствоваться ??
DK
N S M
Возник вопрос - вопрос есть ли по нему разъяснение и позиция ФСТЭК документально зафиксированная - п.Г. п.14 Правил категорирование объектов ...ПП РФ 127 от 8.02.2018 цитата " рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации" - чем руководствоваться ??
Позиция есть, документально зафиксированной нет и не будет. Руководствуйтесь MITRE и CAPEC. Со временем на их основе переделают БДУ, но это произойдет не завтра