Обмен информацией с субъектом КИИ

Обмен информацией с субъектом КИИ
Приказ ФСБ России от 24.07.2018 N 368
"Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
name='more'>
11. Обмен информацией о компьютерных инцидентах с уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты (далее - иностранные (международные) организации), осуществляется НКЦКИ, за исключением случаев, когда обмен субъекта критической информационной инфраструктуры такой информацией напрямую с иностранной (международной) организацией предусмотрен международным договором Российской Федерации.
12. В случае необходимости осуществления обмена информацией о компьютерном инциденте с иностранной (международной) организацией субъект критической информационной инфраструктуры направляет в НКЦКИ обращение, содержащее обоснование необходимости обмена этой информацией и указание наименования, места нахождения, адреса иностранной (международной) организации и иных необходимых для передачи информации сведений с приложением составляющей предмет обмена информации (далее - обращение).

2. Субъекты критической информационной инфраструктуры получают информацию о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения путем:
2.1. Обращения к официальному сайту в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
2.2. Направления запросов в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - техническая инфраструктура НКЦКИ), либо, при отсутствии подключения к ней, посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".
2.3. Направления обращений в ФСБ России.
2.4. Направления запросов другим субъектам критической информационной инфраструктуры, иностранным (международным) организациям, если такой запрос не содержит сведений о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры.

Приказ ФСБ России от 24.07.2018 N 367
"Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
5. Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры:
дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент;
наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
связь с другими компьютерными инцидентами (при наличии);
состав технических параметров компьютерного инцидента;
последствия компьютерного инцидента.

       Так же, отметим что запрещен обмен информацией, а не информирование зарубежных организаций. Обмен подразумевает двухстороннюю передачу информации, а информирование одностороннее. Получается, что субъекту КИИ запрещено даже получать информации от заграничных организаций?
      На СОК-форуме специально просил представителей НКЦКИ разъяснить широту трактовки международного обмена информации. Прозвучало, что запрещена без согласования с НКЦКИ любая передача информации об инциденте ИБ субъектом КИИ за пределы РФ. Получается, что субъект КИИ, входящий в международную корпорацию не имеет права обмениваться подобной информацией с своим центром.


      Более того, в случаях самостоятельного размещения субъектом КИИ на сайте организации или в СМИ информации об произошедшем компьютерном инциденте (достаточно «дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент» или «последствия компьютерного инцидента»), возможно предъявление претензий со стороны ФСБ о нарушении требований приказа № 368.
      Потенциально, это может рассматриваться регулятором как передача информации о компьютерном инциденте международным организациям без согласования с НКЦКИ. Звучит несколько бредово фантастично, но есть правоприменительная практика по аналогичной истории – размещении информации, подлежащей экспортному контролю без разрешения регулятора. ФСТЭК расценивает подобные факты как международный обмен информацией и штрафует по КоАП.
    Постановление № 5-318/2017 от 23 августа 2017 г. по делу № 5-318/2017
Как указано в протоколе об административном правонарушении, вынесенном *** консультантом отдела Управления ФСТЭК России по Уральскому федеральному округу, *** Белкин Д.Ю. допустил размещение диссертации в сети «Интернет» на официальном сайте «Российского химико-технологического университета им Д.И. Менделеева» www.muctr.ru, содержащей информацию, в отношении которой установлен экспортный контроль, и подпадающей под действие Списка ядерных материалов оборудования, специальных неядерных материалов и соответствующих технологий, утвержденного Указом Президента Российской Федерации от 14.02.1996 № 202, без специального разрешения (лицензии) ФСТЭК России, чем нарушил положения ст. 30 Федерального закона от 18.07.1999 № 183-ФЗ «Об экспортном контроле».

    Решение № 71-604/2016 от 23 ноября 2016 г. по делу № 71-604/2016
Судьей установлено, что АО «СвердНИИхиммаш» 28 августа 2015 года разместило в сети «Интернет» на сайте Wzakupki.rosatom.ru и на электронной торговой площадке «Фабрикант» документацию о проведении закупки способом открытого одноэтапного запроса предложений в электронной форме, в составе которой имелась техническая информация, подлежащая экспортному контролю, в отсутствии на размещение такой документации в сети «Интернет» разрешения Федеральной службы по техническому и экспортному контролю России.

      Пока наказания за нарушение требований приказов ФСБ не предусмотрено, но лучше согласовать текст публичного информирования с НКЦКИ. А то мало ли что.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности