В последнее время активизировалась публичная дискуссия по трактовке 187-ФЗ, в части толкования терминов "объект КИИ" и "субъект КИИ". Побочно идет обсуждение и процесса категорирования ОКИИ, вопрос по привязке к критическим процессам. Споры о наполнении перечня объектов, подлежащих категорированию. Каждая сторона приводит аргументы, опираясь на нормативку. Кто же прав в этой ситуации?
name='more'>
Самое печально, но правы все участники дискуссии. И это очень плохо.
Стороны можно разделить на 4 большие группы:
а) Объекты КИИ – это все без исключения ИС/АСУ/ИТКС субъекта КИИ (вне зависимости от сфер их функционирования).
б) Объекты КИИ – это исключительно ИС/АСУ/ИТКС, функционирующие в 13 сферах КИИ
в) Объекты КИИ – это ИС/АСУ/ИТКС, обеспечивающие выполнение исключительно критических процессов в 13 сферах КИИ.
г) Различные вариации из первых трех пунктов.
О чем говорит сам факт подобных споров через ДВА года после принятия 187-ФЗ?
1. Полностью провалена информационно-разъяснительная работа регуляторов. Всю тяжесть разъяснений несут эксперты-общественники, в основном на уровне блогов. Метреки, согласованные с регуляторами ясности не вносят.
2. Низкое качество законотворческой деятельности по обеспечению безопасности КИИ.
Осознание ситуации и проблем способствует принятию решений о необходимости изменения 187-ФЗ и подзаконных актов. (Ну и 193-ФЗ, 194-ФЗ). И такая работа ведется.
Причину возникновения юридической неоднозначности законодательства по КИИ необходимо искать через цели и задачи авторов документов. То есть, посмотреть на ситуацию шире,а не заниматься бессмысленным буквоедством.
Не секрет, что авторами 187-ФЗ были сотрудники 8 Центра ФСБ, а авторами ПП127 - сотрудники ФСТЭК.
Какие цели у 8 центра ФСБ и ФСБ (это не опечатка, они различаются)?
8 центр ФСБ
1. Легализация ГосСОПКА в законодательстве, создание НКЦКИ и Головного центра ГосСОПКА.
2. Максимальный охват инфраструктуры страны средствами мониторинга компьютерных атак.
3. Наличие "точек входа" в каждой организации для реализации информации о КА.
ФСБ
4. Неотвратимость наказания хакеров . ("утяжеление" УК РФ, упрощение квалификации преступления)
5. Искоренение "раздолбайства" в эксплуатации информационной инфраструктуры.
Какие цели ФСТЭК?
6. Безопасность ЗОКИИ.
То есть, для ФСБ важна максимально широкая трактовка терминов "ОКИИ" и "Субъект КИИ". С точки зрения эффективности ГосСОПКА, это единственно верный путь. Чем больше объектов охвачено системой, тем эффективнее разведка и профилактика КА. Чем больше субъектов КИИ, тем выше оперативность реагирования на информацию о КА. Идеал - вся страна охвачена системой, никаких исключений. Но это очень дорого. Это привело к появлению в 187-ФЗ незначимых ОКИИ. По ним в законе нет даже обязанности обеспечивать их безопасность, но есть обязанность взаимодействовать с ГосСОПКА. Дешево и сердито.
Это же привело к частичной легализации ГосСОПКА. Фактически есть законная ГосСОПКА КИИ и общая нелегальная ГосСОПКА. Более того, именно задача по легализации ГосСОПКА привела к появлению отдельного закона, а не внесению изменений в 149 - ФЗ (аналогично внсеению раздела ГИС). Исторически, ФСТЭК пытался КСИИ именно через 149-ФЗ легализовать. И это же привело к появлению отдельной статьи в УК РФ, а не введение отдельных частей в существующие + изменение УПК и подследственности.
Так как ФСБ не отвечает по закону за обеспечение безопасности КИИ РФ, то им безразличен процесс категорирования. 8 центр ФСБ получит свою информацию в любом случае, а ФСБ для уголовного преследования вообще не важны действия субъектов по выполнению 187-ФЗ.
Зато он интересен ФСТЭК. Для них важны исключительно ЗНАЧИМЫЕ объекты КИИ. Только на ЗОКИИ распространяются требования по обеспечению безопасности. Только по ним у ФСТЭК функции госконтроля. Это причина появления "критических процессов" в ПП127. Только ОКИИ, обеспечивающие критические процессы могут попасть в ЗОКИИ. А другие ФСТЭК просто не интересны, но они интересны ФСБ.
Заметьте, что нет реестра субъектов КИИ, а есть только реестр ЗОКИИ.
И вот комбинация таких ведомственных подходов + несовершенство исполнения, помноженная на спешку (законы принимались очень быстро) и привела к стольким вариантам трактовок законодательства при его исполнении.
И что теперь делать субъекту КИИ?
1. Определится с подходом к трактовке (а,б,в,г)
2. В рамках логики варианта подхода реализовывать требования законодательства.
3. Фиксируйте все действия по выполнению 187-ФЗ в рамках своего подхода, будьте готовы аргументированно отстаивать свою позицию при проверках прокуратуры и регуляторов.
Все перечисленные подходы законны, вот ничего не делать - незаконно. Но пока не наказуемо, до введения нового КоАП .
На уголовную ответственность они вообще не влияют, ФСБ сама все решит при необходимости.
Не ждите когда споры сторон закончатся, для этого требуется изменение законодательства.
Я придерживаюсь позиции "б", методика выполнения 187-ФЗ при таком подходе здесь:
https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost/view/226310220/
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
