9 Ноября, 2018

Итоги встречи ИБ-блогеров с представителями ФСТЭК России по теме КИИ

Павел Луцик
Сегодня состоялась встреча представителей ФСТЭК России во главе с В.С Лютиковым и блогеров по ИБ (А.Лукацкий, П.Луцик, А.Комаров, В.Комаров, А.Кузнецов, С.Борисов) по теме законодательства о безопасности КИИ. Полагаю, каждый участник встречи со стороны блогеров сделает соответствующую заметку по результатам встречи.

Что касается самой встречи, то из 153 собранных с сообщества вопросов обсудить успели лишь некоторые, относящиеся к общим нормам законодательства. Частные вопросы (из серии, а Водоканал – это субъект?) не обсуждались. Весь перечень вопросов пока публиковаться не будет, т.к. был собран из разных источников.

На мой личный взгляд встреча оказалась весьма продуктивной и полезной для обеих сторон. Регулятором было предложено проводить подобные встречи на регулярной основе, что не может не радовать, особенно учитывая тот факт, что позиция регулятора по некоторым вопросам оказалась весьма неожиданной, а значит, профессиональное сообщество в своем большинстве о ней не знало, но благодаря таким встречам сможет узнать.

Далее приведу позицию ФСТЭК по обсуждаемым вопросам.


Определение субъекта КИИ.

На текущий момент регулятор трактует его следующим образом. Для того, чтобы Организация подпадала под определение субъекта КИИ, должно выполняться два критерия (если хотя бы один критерий не выполняется, то она не субъект КИИ):

  1. Организация должна функционировать в одной из указанных в определении субъекта КИИ сфер. Не ИС/АСУ/ИТС должна функционировать в одной из сфер, как предполагалось изначально, а именно сама Организация. И тут снова вспоминаем про Устав, Лицензии и ОКВЭД.
  2. Организация на законных основаниях владеет ИС/АСУ/ИТС. При этом обязательная привязка ИC/АСУ/ИТС к одной из сфер в данном случае отсутствует.
По неподтвержденной информации данная позиция согласована между ФСТЭК и ФСБ.

При этом если Организация функционирует в одной из сфер, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию (критические процессы не автоматизированы), то организация тоже не подпадает под определение субъекта КИИ.

Кроме этого регулятором была озвучена более ожидаемая позиция относительно попадания под определение субъекта КИИ со стороны Органов местного самоуправления. Они не подпадают под определение субъекта КИИ, т.к. не являются государственными органами и юридическими лицами (в терминах гражданского кодекса).

Определение объекта КИИ

Объектами КИИ являются только те ИС/АСУ/ИТС, которые подлежат категорированию и соответственно попадают в перечень объектов КИИ, подлежащих категорированию. Остальные ИС/АСУ/ИТС, не попавшие в данный перечень, объектами КИИ не являются. В отличие от предыдущего вопроса, информации о согласовании или не согласовании позиции регуляторов между собой по данному вопросу, нет.

Спорной на мой и не только взгляд является озвученная позиция регулятора относительно того, что если субъект пользуется какой-то централизованной ИС, которая ему не принадлежит, но при этом у него есть обязанность по ее использованию (например, Минздрав обязал ЛПУ на основании какого-то акта использовать определенную централизованную медицинскую ИС для ведения записей о пациентах) и есть права не только на чтение (например, на редактирование, внесение новых записей и т.д.), то субъект должен рассматривать свою часть системы в качестве объекта КИИ, подлежащего категорированию со всеми вытекающими. Так, рассматриваемая медицинская система должна рассматриваться в качестве объекта КИИ не только ее владельцем, но и всеми ЛПУ, которые имеют к ней доступ на внесение информации о пациентах. Получается, что одна ИС будет фигурировать в результатах категорирования нескольких субъектов КИИ и вполне возможно иметь различные категории. Вопрос опять же спорный, возможно регулятор как-то дополнительно прокомментирует этот момент на ближайшем SOC-форуме.

Сроки категорирования объектов КИИ

Перечни объектов КИИ, подлежащих категорированию, от всех субъектов КИИ уже должны быть у ФСТЭК. Но по субъективным оценкам регулятора хоть какую-то активность в этом направлении на текущий момент ведут только 5-6% Организаций от общего количества субъектов КИИ.

Сведения о результатах категорирования ФСТЭК от всех мелких субъектов КИИ также уже должны быть у регулятора, но по факту вспоминаем про 5-6% из пункта выше. Для крупных Организаций с большим количеством объектов КИИ для выполнения категорирования регулятор готов предоставить год с момента утверждения перечня объектов КИИ.

В ближайшем будущем регулятор планирует определиться с вариантом внесения изменений в 127-ПП относительно сроков формирования перечня и дальнейшего категорирования. Первый вариант – указать в 127-ПП срок формирования перечня (например, 6 месяцев, как было в первой редакции 127-ПП) и дальше как и сейчас дается год на категорирование. Второй вариант – указать конкретный срок на формирование перечня и/или проведения категорирования (например, до конца 2019 года).

Необходимость наличия лицензий ФСТЭК для оказания услуг по категорированию

Наличие каких-либо лицензий ФСТЭК для оказания услуг по категорированию не требуется. Категорирование по 127-ПП должен выполнить субъект КИИ, а кого он дополнительно будет привлекать себе в помощь и будет ли привлекаемая организация иметь лицензию, регулятора не волнует.

Учет компенсирующих мер в процессе категорирования

Системы резервного копирования, вторые контуры, противоаварийная автоматика и т.д. не должны учитываться в процессе категорирования.

Ответственность за сокрытие информации о наличии объектов КИИ или занижении категории значимости

Например, субъект решил, что все его ИС имеют компенсирующие меры, которые в случае атаки не дадут случиться соответствующему ущербу, и поэтому перечень объектов КИИ остался пустым. В этом случае возможен сценарий при котором регулятор в процессе проверки (даже не по 187-ФЗ) обнаруживает ИС, которые по ему мнению являются как минимум объектами, подлежащими категорированию и как максимум значимыми объектами, тогда регулятор инициирует проверку с изучением материалов и дальше возможна административная ответственность для субъекта, если регулятор сможет доказать свою правоту.

Органы, уполномоченные трактовать 187-ФЗ и 127-ПП?

Таких на текущий момент нет. И в ближайшее время вряд ли такой орган будет назначен.
Внесение изменений в 187-ФЗ и иные НПА по КИИ
В 187-ФЗ в обозримом будущем внесение изменений не планируется. Но планируется в 127-ПП, 236 и 239, приказы ФСТЭК и КОАП.
В 127-ПП планируется:
  • внести изменения, касающиеся категорирования создаваемых объектов, а именно указать, что данным объектам будет присваиваться предварительная категория, которая впоследствии должна/может уточняться;
  • определить на каком этапе создания объектов необходимо будет отправлять сведения о результатах категорирования во ФСТЭК – на этапе ТЗ, проекта или введения в эксплуатацию (какие-то изменения по этому поводу планируются и в 239 приказе ФСТЭК);
  • указать сроки формирования перечня объектов КИИ и проведения категорирования;
  • скорректировать пункты, касающиеся выявления критических процессов;
  • скорректировать ряд показателей.
В 236 приказ ФСТЭК планируется внести некоторые изменение в части создания систем безопасности интегрируемых структур (холдингов).

В КОАП планируется внести статью (если правительство одобрит), которая будет вводить ответственность за:
  • Непредоставление перечня объектов КИИ в срок;
  • Непредоставление сведений о результатах категорирования в срок;
  • Непринятие мер защиты значимых объектов КИИ;
  • Возможно что-то еще.
Ответственными органами по данной статье будут ФСТЭК, ФСБ и возможно Суд.

Все указанные выше изменения в НПА планируются в 1-м квартале 2019 года.