В 187-ФЗ задана сущность субъекта КИИ через туманное - «которые обеспечивают взаимодействия объектов КИИ». Наиболее важна правильная и однозначная интерпретация данного определения для владельцев и операторов ЦОД.
name='more'> Смотрим первоисточники в законодательстве:
1. 187-ФЗ.
"субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей."
критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
3) порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.
5. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, утверждает по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры."
Итог: Субъект обеспечивает взаимодействие объектов КИИ, а сеть электросвязи используется для организации взаимодействия объектов КИИ.
Если под таким субъектом КИИ подразумевается оператор связи, то по 126-ФЗ он оказывает услуги связи, а не услуги по обеспечению взаимодействия объектов КИИ.
Федеральный закон от 07.07.2003 N 126-ФЗ "О связи"
оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии
услуга связи - деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений;
И основной вопрос. Обеспечение взаимодействия объектов КИИ - это исключительно исполнение операторских функций в сфере связи с использованием сети электросвязи?
Ведь под обеспечение взаимодействия объектов КИИ можно подвести многое. Например, инфраструктуру, обеспечивающей информационно-технологическое взаимодействие информационных систем (ПП РФ от 08.06.2011 N 451). И Фонд развития информационной демократии и гражданского общества «Фонд информационной демократии» становится субъектом КИИ.
Или вот какие типы компонентов информационно-телекоммуникационной инфраструктуры (ИТКИ, не ИТКС!), указаны в Приказе Минкомсвязи России от 31.05.2013 № 127 "Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры"
41 | Рабочие станции общего назначения | Средства вычислительной техники, предназначенные для непосредственной работы пользователя, в том числе в режиме удаленного доступа к серверным мощностям, включая необходимое периферийное оборудование, в том числе принтеры и сканеры, размещаемые на отдельных рабочих местах и общесистемное ПО, не относящееся к ИС |
42 | Серверное оборудование, не входящее в состав ЦОД | Серверы и группы серверов, не размещенные в технологически и территориально обособленных ЦОД, а также их общесистемное ПО, технологическое оборудование, необходимое для обеспечения их функционирования (стойки, шкафы, коммутаторы, источники бесперебойного питания) |
43 | Средства печати и копирования данных, издательские системы | Сетевые принтеры и сканеры, комплексы сканирующих, копирующих, печатающих устройств, включая входящие в их состав рабочие станции со специальным ПО, предназначенным для печати, полиграфического изготовления бланков и другой печатной продукции |
44 | Внутренняя телекоммуникационная инфраструктура | Локальные вычислительные сети и иные технические и программные средства, обеспечивающие передачу данных в помещениях органов субъектов |
45 | Телекоммуникационная инфраструктура, обеспечивающая внешнюю связь | Технические и программные средства, обеспечивающие взаимодействие с внешними мобильными комплексами, устройствами, сетями, средства обеспечения доступа в информационно-телекоммуникационную сеть "Интернет", видеоконференцсвязь |
46 | Программно-аппаратные комплексы информационной безопасности | Межсетевые экраны, средства криптографической защиты информации, программно-аппаратные средства обнаружения атак и иные средства информационной безопасности, выделяемые в единый программно-технический комплекс, в том числе, в целях аттестации или сертификации на соответствие требованиям по защите информации |
47 | Прочее | К данной группе относятся компоненты ИТКИ, не вошедшие в группы 41-46 |
ИТКС и ЦОД там идут отдельно. Типовые компоненты ИТКИ - программно-технические комплексы и средства, выполняющие общие технологические функции, и (или) совместно используемые ИС (средства вычислительной техники, предназначенные для непосредственной работы пользователя).
2. ПП127 – «Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Только 13 сфер деятельности, отсутствует упоминание об «обеспечивающих взаимодействие».
Вывод: документ не применим для решения нашего вопроса.
3. Постановление Правительства РФ от 08.06.2019 № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры"
Настоящие Правила устанавливают порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры (далее - значимые объекты).
«Обеспечение взаимодействия» не равно «обеспечение функционирования».
При подключении значимых объектов субъектами критической информационной инфраструктуры к сети связи общего пользования оператор связи обеспечивает:
информационную безопасность своей сети связи, задействованной при организации взаимодействия значимых объектов, в соответствии с требованиями, устанавливаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;
Замечу, что в 187-ФЗ таких полномочий у Минкомсвязи нет.
Единственная на данный момент методичка по категорированию , согласованная с ФСТЭК и ФСБ. "Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи". ОГО «АДЭ» 2019. Не содержит никаких разъяснений по данному вопросу, что вполне логично (она разъясняет как ПП127 выполнять, см.выше). Но есть указание, что сети электросвязи это не ИТКС и не объекты КИИ.
В Методических рекомендациях от СТЭП ЛОДЖИК v2.0 указано, что «часть инфраструктуры Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, должна рассматриваться в качестве объекта КИИ» (с подобной трактовкой от ФСТЭК сталкивался лично, ее озвучивал Лютиков В.С. на встрече с блогерами ).
Методика относит к процессам обеспечения взаимодействия «предоставление услуг информационного взаимодействия и управления сетью передачи данных для обеспечения взаимодействия ИС 1 и ИС2», «оказание услуг по предоставлению технических средств и управлению информационной инфраструктуры ЦОД» и данные процессы являются критическими. (а вот здесь позиция Лютикова В.С. была иной, системы управления сетью передачи данных являются самостоятельными объектами КИИ в сфере связи. Этот процесс самодостаточен для идентификации субъекта КИИ по основному определению и не относится к обеспечению взаимодействия).
И далее, авторы однозначно указывают, что процесс категорирования универсален и применяется субъектом КИИ, идентифицированным через обеспечение взаимодействия объектов КИИ.
Проект Приказа Минкомсвязи России
"Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры"
1. Настоящий Порядок установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - Порядок) определяет единый подход к установке и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - средства поиска атак, КИИ соответственно).
В рабочем порядке была получена позиция Ростелекома, что пункт про взаимодействие относится только к операторам связи и только с помощью сетей электросвязи. Сети электросвязи не объекты КИИ!
К сожалению, отделы по обеспечению безопасности КИИ в центральном аппарате ФСТЭК и УФСТЭК по ЦФО не ответили на запросы по разъяснению данных вопросов.
Моя позиция:
1. Госорганы и госучреждения не относятся к субъектам КИИ, обеспечивающим взаимодействие объектов КИИ.
2. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей – это исключительно операторы связи.
3. Взаимодействие обеспечивается исключительно сетями электросвязи.
4. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей, руководствуется исключительно актами Минкомсвязь и ФСБ. К нему не относятся ПП127 и приказы ФСТЭК.
5. Для ЦОД есть проблема (для случая наличия связных лицензий), когда владелец инфраструктуры ЦОД и оператор ЦОД различные юрлица. Поскольку через сферу «связь» попадает в субъекты КИИ владелец, а через «обеспечение взаимодействия» оператор.
