Вопросы безопасности критической информационной инфраструктуры не теряют актуальности, вот и я опубликовал статью про идентификацию объектов КИИ и субъектов КИИ. Всего лишь в третий раз на эту тему, считая первый в декабре 2017 - о категорировании объектов критической информационной инфраструктуры, второй - в феврале 2018, когда мы с Сергеем Петренко выпустили первое учебно-методическое пособие по безопасности КИИ и защите АСУТП. Курсы повышения квалификации, которые я ранее разрабатывал и вёл, здесь не считаю.
Что говорят владельцы объектов КИИ
Приведу несколько:
«… ты тут на старые грабли наступаешь. Уже давно все это обсосали, что по сфере функционирования организации, а не системы считать надо, хотя да, есть указ президента более ранний, который прописывал, что системы функционирующие и есть еще системы, функционирующие в сфере здравоохранения, понятие в 323-фз».
«... это 2-3 года назад было... и ФСТЭК разъяснения давал. Мы даже когда методичку делали этот вопрос со ФСТЭКом обсуждали».
«Там норма двоякого толкования сделана. Страдает юридическая техника, впрочем повсеместно.
- ФОИВ даёт разъяснения закону?
- Не закону, а как читать... Смотри внимательно на запятые.
- Именно! Системы, функционирующие...
- Нет. Юрлица. В той что сейчас формулировке».
«Есть … решения судов, которые оценивают, что все системы субъекта - это объекты КИИ».
«- Главное - сформулировал конкретное предложение как прекратить всё это.
- Вот тут да, я согласен... Оно более правильные формулировки дает».
Субъекты КИИ и запятая
Ещё раз посмотрим на формулировку в статье 2 187-ФЗ:
«8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
По тексту слово «функционирующие» без вариантов относится к ИС, ИТКС, АСУ. Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т.п.: «…, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, и функционирующие в сфере».
Учёт и контроль - кого или чего?
А как в НПА? Если мы откроем зарегистрированные в Минюсте приказы ФСТЭК России, регулирующие вопросы учёта (направления сведений, ведения реестра), то увидим, что там учитывается сфера деятельности именно объекта КИИ, а не субъекта, в нумерации объектов предусмотрена ситуация:
«В случае если значимый объект критической информационной инфраструктуры функционирует в нескольких сферах (областях) деятельности или расположен на территории нескольких федеральных округов, второй и третьей группам цифр присваивается обозначение сферы (области) деятельности или территории, указанные субъектом критической информационной инфраструктуры первыми. Обозначение других сфер (областей) деятельности, в которых функционирует значимый объект критической информационной инфраструктуры, или территорий федеральных округов, на которых он располагается, вносится в графу Реестра, содержащую дополнительные сведения о значимом объекте критической информационной инфраструктуры».
Водоканал - субъект КИИ?
Когда-то наблюдал дискуссию по отнесению или неотнесению предприятий системы «Водоканал» к субъектам КИИ. Да, сферы деятельности организации по обеспечению жизнедеятельности населённых пунктов впрямую нет. Но почему сразу надо делать вывод про субъект КИИ? Проще составить перечень всех имеющихся в организации такого типа ИС, АСУ, ИТКС с указанием сфер их функционирования. Здравоохранение не подходит? А критерии значимости из социальной (первые два) и экологической сфер? Вне зависимости от сферы функционирования ИС или АСУ? Там теперь есть подходящие критерии и формулировки. Наверное, проще впрямую добавить в перечень сфер, в которых функционируют системы и сети, «сферу обеспечения жизнедеятельности населения и экологической безопасности». Про системы росреестра сделали же законопроект - в ГосДуме сейчас.
Большое спасибо за обратную связь моим коллегам, прежде всего Константину Саматову (BISA, АРСИБ) и Алексею Фролову (Ассоциация крупнейших потребителей ПО).