Несовершенство формулировок и определений ФЗ-187 закономерно порождает множество споров,в котором стороны приводят аргументированные мнения. При попытках определить организации, подпадающие под действие 187-ФЗ используются материалы презентации Е. Торбенко (ФСТЭК) с ТБ-форума. Большинство споров специалистов заканчивается решением - надо запросить ФСТЭК. Более того, на Positive Hack Days 8 представитель 8 Центра ФСБ прямо ответил, что это компетенция ФСТЭК, а не ФСБ.
Яркими и грамотными примерами реализации такого подхода на практике являются заметки коллег по ИБ:
"Субъект КИИ или не субъект? Вот в чем вопрос!" https://plutsik.blogspot.ru/2018/05/blog-post.html
"КИИ. Какие ГОСы попадают сферу КИИ?" http://sborisov.blogspot.ru/2018/05/blog-post.html?spref=tw
Я не оспариваю возможность такого подхода к определению субъекта КИИ и не считаю позицию ФСТЭК ошибочной, я всего-лишь пытаюсь донести нюансы 187-ФЗ и предостеречь коллег от опасных иллюзий.
Ранее я уже разбирал полномочия ФСБ и ФСТЭК по трактовке определений 187-ФЗ:
https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
В настоящей заметке хочу еще раз привлечь внимание к отсутствию монополии ФСТЭК на определении субъектов КИИ.
Вопрос: С какой целью ФСБ и ФСТЭК определяет субъектов КИИ среди организаций страны?
Исходная информация:
1. ФСТЭК отвечает за выполнение трех задач: проверка правильности присвоения категорий значимости объектам КИИ, ведение реестра ЗНАЧИМЫХ объектов КИИ, устанавливает требования по обеспечению безопасности ЗНАЧИМЫХ объектов КИИ и контролирует их выполнение субъектами КИИ.
2. ФСБ отвечает за выполнение одной задачи по 187-ФЗ: "обнаружение, предупреждение и ликвидация последствий компьютерных атак" на ВСЕХ объектах КИИ.
3. ФСБ полностью отвечает за выполнение 194-ФЗ, который касается ВСЕХ объектов КИИ: "организует в пределах своих полномочий оперативно-розыскную деятельность по выявлению, предупреждению, пресечению и раскрытию преступлений, борьба с которыми отнесена к ведению органов безопасности, а также организует такую деятельность в иных случаях, предусмотренных федеральным законом; определяет порядок осуществления органами безопасности внедрения в преступные группы и других оперативно-розыскных мероприятий;" и "проводит криминалистические и другие экспертизы и исследования" (Положение ФСБ), предварительное следствие по Ст.274.1 УК РФ (Ст.151 УПК РФ).
4. ФСБ отвечает за выполнение 193-ФЗ. Формально касается ВСЕХ объектов КИИ.
5. Прокуратура отвечает за законность решений и действий ФСБ и ФСТЭК в отношении ВСЕХ субъектов КИИ.
Ответ:
ФСТЭК определяет субъектов КИИ среди организаций страны только для выделения владельцев ЗНАЧИМЫХ объектов КИИ.
ФСБ выделяет субъектов КИИ среди организаций страны для следующих задач:
1. Функционирование ГосСОПКи.
2. Привлечение к уголовной ответственности по ст.274.1 УК РФ. (Не только субъекта КИИ, но и хакеров атакующих ЛЮБОЙ объект КИИ).
3. Контроль за защитой сведений, составляющих гостайну по 193-ФЗ на объектах КИИ.
Прокуратура определяет субъектов КИИ среди организаций страны для решения о законности действий ФСБ и ФСТЭК в отношении этих организаций.
По простому:
1. ФСТЭК интересуют только ЗНАЧИМЫЕ объекты КИИ.
2. ФСБ и Прокуратуру интересуют ВСЕ объекты КИИ.
3. ФСТЭК может привлечь только к административной ответственности.
4. ФСБ может привлечь к уголовной ответственности.
5. Прокуратура осуществляет надзор за законностью требований ФСБ и ФСТЭК к любым организациям.
5. У ФСТЭК нет права на проведение ОРД, на проведение экспертиз, на проведение следственных действий. А у ФСБ есть.
6. ФСБ интересуют ВСЕ субъекты КИИ не только для выполнения требований 187-ФЗ. Они имеют все ресурсы (оперативники, технари, мозги, следователи) для поимки и привлечения к уголовному наказанию хакеров. Для применения п.1-2 Ст.274.1 следствию обязательно необходимо доказать, что компьютерная атака осуществлялась на объект КИИ, а не просто на информационную систему (это другая статья УК РФ).
7. ФСБ необходимо понимать обоснованность обработки в организации сведений по 193-ФЗ. А для этого организация должна быть субъектом КИИ.
Примечание: необходимо понимать, что под ФСБ подразумевается не 8 Центр ФСБ, а территориальные органы ФСБ, в зону ответственности которых входит ваша организация. В ФСБ 8 Центр и НКЦКИ не имеют полномочий на решение таких запросов организаций, да и не считают это своей задачей. Просто на конференциях по ГосСОПКе обычно их представители выступают,а в реальной работе по борьбе с компьютерными атаками задействованы и другие подразделения ФСБ. Это четко указано в проектах приказов ФСБ по КИИ, в части разработки регламента привлечения субъектом КИИ сил и средств ФСБ для ликвидации последствий компьютерных атак.
И неформальная публичная информация:
1. Авторство текста 187-ФЗ принадлежит ФСБ. В том числе и определение "субъект КИИ".
2. На Инфофоруме выступал представитель 8 Центра ФСБ, который представился автором 187-ФЗ и конкретно раздела "определений", включая "объект КИИ" и "субъект КИИ", рассказал о своих замыслах при написании. Собственно, тогда и прозвучало в открытую, что органы власти это субъекты КИИ по любому. В президиуме находилась Е. Торбенко как официальный представитель ФСТЭК. Никаких возражений по поводу авторства или трактовок определений от нее не прозвучало.
Итог: Целесообразнее запрашивать мнение того регулятора, для которого это имеет наибольшей практический интерес. И логика подсказывает, что разумнее спрашивать авторов закона.
Рекомендация: Если вас волнует только административная ответственность, то обращайтесь к ФСТЭК. Если опасаетесь уголовной ответственности, то в ФСБ. В любом случае, рекомендую проверить законность ответов ФСБ и/или ФСТЭК запросом в Прокуратуру.
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
