31 Мая, 2019

Официальный сайт субъекта КИИ это объект КИИ?

Валерий Комаров




    При составлении Перечней объектов КИИ, подлежащих категорированию у субъекта КИИ встает вопрос с внесением в него официального интернет-сайта субъекта КИИ. Попробуем разобраться в этом вопросе.
  Согласно 187-ФЗ для этого требуется совпадение двух факторов: это должна быть ИС и эта ИС должна функционировать в 13 сферах.
name='more'>
  И получается у нас такая картина:
1. Смотрим 149-ФЗ. Есть отдельное определение информационной системы и интернет-сайта. 
"сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет".
    То есть, речь явно и идет об ИС, имеющей доступ в Интернет и все отлично ложится на определение объекта КИИ в 187-ФЗ.
    Иногда речь идет об интернет-порталах. Такого определения в 149-ФЗ нет, но оформляют их как ИС.

 
   Если у организации есть свой интернет-сайт, то у нее должна быть ИС. Если эта организация ФОИВ или ОИВ, то должна быть ГИС.
   Об этом прямо говорит п.4. ст.14 149-ФЗ. Об этом говорит судебная практика .
   Так же есть Приказ ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010"Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования", который для ФОИВ описывает интернет-сайты как ГИС.
   Но если зайти на сайт Минкомсвязи, то там указаны только 
Информационные системы

    То есть отдельной ГИС "Сайт Минкомсвязи" в перечне нет. Возможно, что сайт развернут в рамках ГИС с другим "неявным"названием.
     Вот  Минюст  прямо указывает, что его сайт это ГИС.
    Смотрим официальный сайт нашего главного регулятора по категорированию КИИ - ФСТЭК России и видим удивительное: сайт есть, а ГИС нет вообще
     А если сайт не относить к ИС, то тогда он не объект КИИ согласно 187-ФЗ?

 2. Попробуем разобраться с сферами деятельности интернет-сайтов. Я уделил такое внимание в первой части к ГИС по той причине, что официальный сайт ФОИВ и ОИВ, выполняющих функции в сферах 187-ФЗ "автоматом" функционируют в соответствующих сферах. С сайтами подведомственных организаций сложнее, необходимо внимательно изучать распоряжения о целях создания самих подведов. Отдельным моментом станет вопрос с владельцем ИС "Интернет-сайт ОИВ". Если все совпало (сфера и собственник), то такую ИС необходимо включить в Перечень объектов, подлежащих категорированию. При категорировании будет грозить 2 показателя:
- Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)
-  Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).
   Здесь уже очень внимательно требуется изучить информацию, указанную на самом сайте и в документах на его создание. При подаче информации регулятору, потребуется доказывать неприменимость этих показателей  к данной ИС.
    С коммерческими субъектами КИИ сложнее. Я вижу только 5 сфер из 187-ФЗ, под которые могут попасть интернет-сайты:
-транспорт
-здравоохранение
-связь
-наука
-банковская и иная финансовая

   Под значимые могут попасть из них только транспорт и связь. Под сферу связи гарантированно попадают сайты организаций, которые внесены в реестр ОРИ. Просто в силу определения 149-ФЗ "Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет".
   Под показатели значимости в транспорте интернет-сайту попасть очень сложно, оказание транспортных услуг должно предоставляться исключительно через сайт, ни телефонов или офисов. И касаться будет только субъектов КИИ, которые свою экономическую деятельность заявили в сфере транспорта. Вопрос с интернет-агрегаторами такси или логистики пока еще дискуссионный.
   Вариантов нанесения вреда здоровью в результате компьютерной атаки на сайты в сфере здравоохранения конечно можно напридумывать, но не вижу в этом практического смысла.
    В сфере науки вижу только вариант по показателю "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации", но это настолько узкий случай и требуется столько совпадений, что маловероятное определение категории для сайта научной организации.
     
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога