При составлении Перечней объектов КИИ, подлежащих категорированию у субъекта КИИ встает вопрос с внесением в него официального интернет-сайта субъекта КИИ. Попробуем разобраться в этом вопросе.
Согласно 187-ФЗ для этого требуется совпадение двух факторов: это должна быть ИС и эта ИС должна функционировать в 13 сферах.
name='more'>
И получается у нас такая картина:
1. Смотрим 149-ФЗ. Есть отдельное определение информационной системы и интернет-сайта.
"сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет".
То есть, речь явно и идет об ИС, имеющей доступ в Интернет и все отлично ложится на определение объекта КИИ в 187-ФЗ.
Иногда речь идет об интернет-порталах. Такого определения в 149-ФЗ нет, но оформляют их как ИС.
Если у организации есть свой интернет-сайт, то у нее должна быть ИС. Если эта организация ФОИВ или ОИВ, то должна быть ГИС.
Об этом прямо говорит п.4. ст.14 149-ФЗ. Об этом говорит судебная практика .
Так же есть Приказ ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010"Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования", который для ФОИВ описывает интернет-сайты как ГИС.
Но если зайти на сайт Минкомсвязи, то там указаны только
Информационные системы
- Сайты полномочных представителей Президента Российской Федерации в федеральных округах, сайты консультативных (совещательных органов) при Президенте Российской Федерации
- Официальный Сайт Правительства Российской Федерации и Председателя Правительства Российской Федерации
- Официальное интернет представительство Президента Российской Федерации
Вот Минюст прямо указывает, что его сайт это ГИС.
Смотрим официальный сайт нашего главного регулятора по категорированию КИИ - ФСТЭК России и видим удивительное: сайт есть, а ГИС нет вообще .
А если сайт не относить к ИС, то тогда он не объект КИИ согласно 187-ФЗ?
2. Попробуем разобраться с сферами деятельности интернет-сайтов. Я уделил такое внимание в первой части к ГИС по той причине, что официальный сайт ФОИВ и ОИВ, выполняющих функции в сферах 187-ФЗ "автоматом" функционируют в соответствующих сферах. С сайтами подведомственных организаций сложнее, необходимо внимательно изучать распоряжения о целях создания самих подведов. Отдельным моментом станет вопрос с владельцем ИС "Интернет-сайт ОИВ". Если все совпало (сфера и собственник), то такую ИС необходимо включить в Перечень объектов, подлежащих категорированию. При категорировании будет грозить 2 показателя:
- Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)
- Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).
Здесь уже очень внимательно требуется изучить информацию, указанную на самом сайте и в документах на его создание. При подаче информации регулятору, потребуется доказывать неприменимость этих показателей к данной ИС.
С коммерческими субъектами КИИ сложнее. Я вижу только 5 сфер из 187-ФЗ, под которые могут попасть интернет-сайты:
-транспорт
-здравоохранение
-связь
-наука
-банковская и иная финансовая
Под значимые могут попасть из них только транспорт и связь. Под сферу связи гарантированно попадают сайты организаций, которые внесены в реестр ОРИ. Просто в силу определения 149-ФЗ "Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет".
Под показатели значимости в транспорте интернет-сайту попасть очень сложно, оказание транспортных услуг должно предоставляться исключительно через сайт, ни телефонов или офисов. И касаться будет только субъектов КИИ, которые свою экономическую деятельность заявили в сфере транспорта. Вопрос с интернет-агрегаторами такси или логистики пока еще дискуссионный.
Вариантов нанесения вреда здоровью в результате компьютерной атаки на сайты в сфере здравоохранения конечно можно напридумывать, но не вижу в этом практического смысла.
В сфере науки вижу только вариант по показателю "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации", но это настолько узкий случай и требуется столько совпадений, что маловероятное определение категории для сайта научной организации.
