КИИ: Информация от ФСТЭК России

КИИ: Информация от ФСТЭК России
По итогам прошедшей 9 ноября в центральном аппарате ФСТЭК России встречи с блогерами (в алфавитном порядке: Борисов С. , Комаров А. , Комаров В. , Кузнецов А. , Лукацкий А. , Луцик П. ) по актуальным вопросам в области обеспечения безопасности критической информационной инфраструктуры (КИИ) РФ хотелось бы осветить наиболее важные моменты.
 
Представители ФСТЭК России отметили, что в существующих определениях ключевых понятий «объект КИИ» и «субъект КИИ» местами есть неопределённость, но тут же были представлены соответствующие комментарии (см. ниже).

На что стоит обратить внимание по понятию «субъект КИИ»:
1. У понятия субъект КИИ есть две сущности (параметра), которые должны быть одновременно:
- это организация (государственный орган, государственное учреждение, российское юридическое лицо и (или) индивидуальный предприниматель), функционирующая в одной из сфер, определенных п.8, ст.2 ФЗ-187 (т.к. именно организация выполняет функций (полномочия) или осуществляет виды деятельности в определенной сфере, а не сис темы);
- принадлежность ей на праве собственности, аренды или на ином законном основании любых информационных систем (ИС), информационно-телекоммуникационных сетей(ИТС), автоматизированных систем управления (АСУ).
Другими словами, в определении «субъекта КИИ» причастный оборот «…, функционирующие в сфере …» правильно относить к группе существительных «государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели», а не к «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».
2. Юридические лица определяются в соответствии с ГК РФ.
3. Список сфер четко ограничен 13 штуками, другие сферы сюда не входят (например, водоснабжения и водоотведения).
4. Если у организации есть функции (осуществляемый ею виды деятельности), то никого не интересует организация реализует её своими силами, силами третьих лиц (операторов) по договору или ещё как-то, отвечать за реализацию функции организация будет в рамках закона, а операторы (если они есть) в рамках договора (т.е. роль субъект а КИИ «не передается» другому лицу).
5. Если организация функционирует в одной из сфер, но у неё нет никаких ИС, ИТС или АСУ (т.е. нет никакой автоматизации вообще), то она не субъект КИИ.
6. Администрации местного самоуправления (АМСУ) не субъект КИИ.
 
На что стоит обратить внимание по понятию «объект КИИ»:
1. Объекты КИИ – это не все ИС, ИТС и АСУ организации.
Задача ФЗ-187 очертить и выделить среди всей информационной инфраструктуры РФ именно критическую, если вся информационная инфраструктура равна критической, то в этом нет никакого смыла.
На это очерчивание и выделение и направлены Правила и Перечень, утв. ПП РФ № 127.
58617c3d9ecd119398ab4322d5bce165.png
 
Упоминание отношения к этому вопросу «со стороны» ГосСОПКА, что объекты КИИ - это все системы в рамках ФЗ-187 не совсем корректно, т.к. ГосСОПКА закрывает гораздо более широкий пласт (информационные ресурсы РФ - ИС и ИТС, находящиеся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом), и ФЗ-187 это только «кусочек» в зоне покрытия ГосСОПКА. Говоря о полном покрытии, коллеги из ФСБ России оперируют указом Президента РФ от N 31с и др. документами, а не ФЗ-187.
d741767ac7d3d40320065a8817754e46.png

2. Сети электросвязи – не являются объектами КИИ.
Не путать сети электросвязи с сетями передачи данных (ЛВС и РВС), которые выступают ИТС, в т.ч. сети, которые используются в сторонних ЦОД (если только у ЦОД-а нет лицензии Роскомнадзора на оказание услуг связи, и он именно их использует).
3. Если ИС, ИТС или АСУ не автоматизируют (не участвует в обработке информации, управлении, контроле или мониторинге) критический процесс, «завязанный» на выполнение функций (полномочий) или осуществление видов деятельности субъекта КИИ, то они не рассматриваются как объект КИИ (например, у учреждения, функционирующего не в сфере энергетики (т.е. нет в Уставе деятельности по производству, передаче и сбыту электроэнергии), есть АСУ своей электроподстанции, то эта АСУ не объект КИИ).
4. Самый сложный вопрос, который ещё подлежит проработке, это использование субъектом КИИ несобственных (сторонних) ИС, ИТС и АСУ, для простоты далее – систем (актуально для холдингов, аутсорсинга и ряда других случаев).
Здесь нужно учитывать:
- если субъект КИИ, использующий стороннюю систему, делает это в рамках критического процесса, «завязанного» на выполнение функций (полномочий) или осуществление его видов деятельности, то для него это объект КИИ. Сложность в том, чтобы получить по п.9 Правил, утв. ПП РФ № 127, все данные от сторонней организации для заполнения формы, утв. приказом ФСТЭК России № 236;
- сторонняя организация, которая данную систему предоставляет может её отнести к объектам КИИ по своей линии (если она тоже субъект КИИ), т.е. ряд субъектов КИИ может подать как «свой» объект КИИ фактически одну и ту же «единственную» систему;
- есть вопросы в части «законного основания принадлежности» системы по ФЗ-187, когда в договоре, соглашении или др. документе между субъектом КИИ и сторонней организацией используется понятие «доступ к …», «информационное обеспечение …» или т.п.
5. Ещё один непростой вопрос, это вновь создаваемые объекты КИИ. Когда проводить их категорирование (на этапе написания ТЗ, технического проектирования или ввода в эксплуатацию)? И п.8 Правил, утв. ПП РФ № 127, нас «не спасает», т.к. он затрагивает только объекты в рамках создания объекта капитального строительства.
 
Безусловно, представители ФСТЭК России понимают необходимость совершенствования существующей нормативной базы, и здесь нам с вами стоит ожидать изменения в ПП РФ № 127 в 1-ом квартале следующего года в части:
- уточнения ряда показателей (точно по линии «экономической значимости», а также показателей, связанных с территорией);
- увеличения акцента на то, что объект КИИ – это «средство», через которое компьютерная атака достигает своего воздействия на соответствующий реальный процесс (движение транспорта, оказание услуги связи и т.п.), и нас не интересует нарушение работоспособности объекта КИИ ради нарушения работоспособности объекта КИИ (т.е. объект КИИ не работает, а транспорт едет как и ехал, связь оказывалась как оказывалась, это не наши случаи);
- уточнения состава сведений, вносимых в акт по итогам категорирования (их сокращения);
- фиксации сроков подготовки перечня объектов КИИ и их категорирования (либо в месяцах, либо конкретный срок в 2019 году);
- уточнения условий категорирования для вновь создаваемых объектов КИИ,
а также ряд уточнений в приказы №№ 235 и 239.

Стоит отметить, что обратной силы изменения иметь не будут, т.е. все те, кто подадутся по текущим правилам и показателям, переделывать работу не будут, точнее будут через 5 лет в рамках планового пересмотра.


Изменения в ФЗ-187 вносится не будут.
 
В заключении я хотел бы поблагодарить коллег из 5 отдела 2 управления ФСТЭК России за уделенное нам время и отдельно заместителя директора ФСТЭК России, Лютикова Виталия Сергеевича, за данное мероприятие.

Отдельное спасибо Лукацкому Алексею Викторовичу за содействие в организации.


Коллеги уже стали готовить свои обзоры: ссылка , ссылка .
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только