Тема безопасности критической информационной инфраструктуры (КИИ) не теряет актуальности и не уходит из тем форумов, вебинаров, чатов и т.п., хотя закон был принят почти пять с половиной лет назад и пять лет как вступил в силу, появилось большое количество нормативных правовых актов по защите КИИ. Не у каждого закона есть такая «обвязка» и интерес. Тем более, что с февраля прошлого года критическая информационная инфраструктура (КИИ) нашей страны каждый день сдаёт экзамен на прочность, как бы высокопарно это не звучало.
Субъекты КИИ - кто они?
Но есть один момент, который как занозинка периодически даёт о себе знать - это кого считать субъектами КИИ. Мы на форумах, конференциях, вебинарах и т.п. уже больше пяти лет слышим рекомендации как определить, относится ли организация к субъектам КИИ - посмотреть виды деятельности в уставе, лицензии и т.п., вплоть до фраз, - «Стали субъектом КИИ? Найдите у себя объекты КИИ». Видим в некоторых судебных решениях, что раз организация работает в сфере, указанной в 187-ФЗ, то её ИС, ИТКС, АСУ являются объектами КИИ. А два года назад на одной из конференций в частной беседе мне рассказали, что у них в рамках ведомства появилось понятие «субъект КИИ, не владеющий объектами КИИ». По сути, мы отовсюду слышим мнение, что отнесение или неотнесение организации к субъектам КИИ зависит от того, работает ли (функционирует) организация в одной из отраслей, перечисленных в статье 2 187-ФЗ. (Говоря организация, я имею ввиду перечисленные ниже органы, юрлица и т.п.)
Что говорит закон 187-ФЗ?
«8) субъекты критической информационной инфраструктуры -
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
«Да какая разница?!» - спросит кто-то, - «К чему это крючкотворство? Работает в сферах - значит, есть системы и сети. Ясно и точка».
Мне действительно задавали вопросы про то, какая разница что из чего следует: «сделали список видов деятельности из устава и лицензий, посмотрели, есть ли работающие в них системы или сети и всё; есть и субъект, есть и перечень объектов».
Кстати, здесь еще один момент, на который ссылаются - в той же статье 2 187-ФЗ:
«7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».
То есть, исходя из определения, если организация - субъект КИИ, то все её ИС, ИТКС, АСУ - являются объектами КИИ. Так?
В ответ порой слышу - раз организации принадлежат ИС, ИТКС, АСУ, значит, они функционируют в разрешенных или заявленных видах деятельности, надо просто посмотреть в каких именно и какие из них есть в законе.
То есть фактически всё равно следует пойти от систем и сетей (объектов КИИ) к сферам, где те функционируют, а не от видов деятельности в уставе. Правда, здесь возможно «потерять» или «забыть» ряд систем и сетей.
А если начать с их перечня и сопоставления видам деятельности, точнее, сферам, в которых системы функционирует, то и потерь не будет и 187-ФЗ не противоречит - всё точно как по букве, так и по духу закона.
И ещё момент. Если сначала применить часть 8 статьи 2 187-ФЗ и определить субъекты КИИ как там написано, то получается, что после получения («самопризнания») организацией статуса субъекта КИИ все остальные системы, согласно части 7 этой же статьи, становятся объектами КИИ? Нужна ли такая путаница?
Но вид деятельности у организации может быть не один, в том числе несколько из 187-ФЗ, и каждый может обеспечивать одна или несколько систем и сетей.
Соответственно, по каждому направлению у организации может быть свой отраслевой регулятор, чьи требования и рекомендации он должен выполнять (учитывать) применительно к объектам КИИ из соответствующей сферы.
Субъект КИИ сосредотачивается на одном направлении - требования и их реализация, угрозы, повышение осведомлённости и т.п. «За бортом» остаются требования и угрозы для систем из других сфер (а они могут существенно отличаться - технологии реализации, требования по надежности и функциональной безопасности часто разные) или им уделяется внимание по остаточному принципу. Организуется взаимодействие только с одним ведомственным центром, соответственно, по другим направлениям ведомства не получают статистику, не отправляют информацию по угрозам.
Здесь я чувствую недобрый взгляд специалистов, - «Мало нам имеющегося, он еще больше на нас повесить призывает! Еще несколько центров!». Но всё это до первого краха или стопора систем, публичной утечки.
Пример объектов КИИ
Организация может работать в сфере строительства, но при этом иметь ТЭЦ (объект ТЭК и там несколько объектов КИИ), которая одновременно отапливает жилой микрорайон с больницей, детсадом и т.п., транспортный цех с ИС «Логистика», подразделение НИОКР с АСНИ «Наука» (например, свойства новых материалов и т.п.), ведомственную поликлинику (ИС «Здоровье работников») и т.п. Уже получается ряд объектов КИИ по четырём направлениям, но не по основному виду деятельности, причём в уставе организации точно есть услуги по теплоснабжению (оказывают услуги, выставляют счета, получают оплату), насчёт трёх других не уверен - там деятельность для собственных нужд.
О подобном я писал в методическом пособии по защите АСУТП и объектов КИИ, вышедшем в ООО «Издательский Дом «Афина» и редакции журнала «Защита информации. Инсайд» в феврале 2018 года.
Что делать?
Выправить ситуацию возможно немного изменив формулировки в статье 2 187-ФЗ:
«7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности».
«8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат объекты критической информационной инфраструктуры, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».
Возможно, тема покажется надуманной, и вы скажете, - «Сложилась же практика, много материалов и т.п., что уж теперь! Зачем раздувать? Гнаться за формализмом? Как есть - так пусть и идёт».
Вот только не останавливающиеся дискуссии и вопросы как и кого признавать субъектом КИИ в соответствии с законом идут уже пять лет.
Согласны? Нет? Есть чем дополнить? Пишите - обсудим.