Неоднозначность законодательства по КИИ. Расширяем горизонты или "ребята, давайте жить дружно".

Неоднозначность законодательства по КИИ. Расширяем горизонты или "ребята, давайте жить дружно".

    В последнее время активизировалась публичная дискуссия по трактовке 187-ФЗ, в части толкования терминов "объект КИИ" и "субъект КИИ". Побочно идет обсуждение и процесса категорирования ОКИИ, вопрос по привязке к критическим процессам. Споры о наполнении перечня объектов, подлежащих категорированию.  Каждая сторона приводит аргументы,  опираясь на нормативку. Кто же прав в этой ситуации?
name='more'>

      Самое печально, но правы все участники дискуссии. И это очень плохо.

Стороны можно разделить на 4 большие группы:

а)       Объекты КИИ – это все без исключения ИС/АСУ/ИТКС субъекта КИИ (вне зависимости от сфер их функционирования).

б)       Объекты КИИ – это исключительно ИС/АСУ/ИТКС, функционирующие в 13 сферах КИИ

в)       Объекты КИИ – это ИС/АСУ/ИТКС, обеспечивающие выполнение исключительно  критических процессов в 13 сферах КИИ.

г)       Различные вариации из первых трех пунктов.

    О чем говорит сам факт подобных споров через ДВА года после принятия 187-ФЗ?

1.       Полностью провалена информационно-разъяснительная работа регуляторов. Всю тяжесть разъяснений несут эксперты-общественники, в основном на уровне блогов. Метреки, согласованные с регуляторами ясности не вносят.

2.       Низкое качество законотворческой деятельности по обеспечению безопасности КИИ.


   Осознание ситуации и проблем способствует принятию решений о необходимости изменения 187-ФЗ и подзаконных актов. (Ну и 193-ФЗ, 194-ФЗ). И такая работа ведется.
     Причину возникновения юридической неоднозначности законодательства по КИИ необходимо искать через цели и задачи авторов документов. То есть, посмотреть на ситуацию шире,а не заниматься бессмысленным буквоедством.

      Не секрет, что авторами 187-ФЗ были сотрудники 8 Центра ФСБ, а авторами ПП127 - сотрудники ФСТЭК. 
      Какие цели у 8 центра ФСБ и ФСБ (это не опечатка, они различаются)?
8 центр ФСБ
1. Легализация ГосСОПКА в законодательстве, создание НКЦКИ и Головного центра ГосСОПКА.
2. Максимальный охват инфраструктуры страны средствами мониторинга компьютерных атак.
3. Наличие "точек входа" в каждой организации для реализации информации о КА.
ФСБ
4.  Неотвратимость наказания хакеров. ("утяжеление" УК РФ, упрощение квалификации преступления)
5. Искоренение "раздолбайства" в эксплуатации информационной инфраструктуры.
    Какие цели ФСТЭК?
6. Безопасность ЗОКИИ.
      
   То есть, для ФСБ важна максимально широкая трактовка терминов "ОКИИ" и "Субъект КИИ". С точки зрения эффективности ГосСОПКА, это единственно верный путь. Чем больше объектов охвачено системой, тем эффективнее разведка и профилактика КА. Чем больше субъектов КИИ, тем выше оперативность реагирования на информацию о КА. Идеал - вся страна охвачена системой, никаких исключений. Но это очень дорого. Это привело к появлению в 187-ФЗ незначимых ОКИИ. По ним в законе нет даже обязанности обеспечивать их безопасность, но есть обязанность взаимодействовать с ГосСОПКА. Дешево и сердито.
    Это же привело к частичной легализации ГосСОПКА. Фактически есть законная ГосСОПКА КИИ и общая нелегальная ГосСОПКА. Более того, именно задача по легализации ГосСОПКА привела к появлению отдельного закона, а не внесению изменений в 149 - ФЗ (аналогично внсеению раздела ГИС). Исторически, ФСТЭК пытался КСИИ именно через 149-ФЗ легализовать.  И это же привело к появлению отдельной статьи в УК РФ, а не введение отдельных частей в существующие + изменение УПК и подследственности.
     Так как ФСБ не отвечает по закону за обеспечение безопасности КИИ РФ, то им безразличен процесс категорирования. 8 центр ФСБ получит свою информацию в любом случае, а ФСБ для уголовного преследования вообще не важны действия субъектов по выполнению 187-ФЗ.
      Зато он интересен ФСТЭК. Для них важны исключительно ЗНАЧИМЫЕ объекты КИИ. Только на ЗОКИИ распространяются требования по обеспечению безопасности. Только по ним у ФСТЭК функции госконтроля. Это причина появления "критических процессов" в ПП127. Только ОКИИ, обеспечивающие критические процессы могут попасть в ЗОКИИ. А другие ФСТЭК просто не интересны, но они интересны ФСБ.
      Заметьте, что нет реестра субъектов КИИ, а есть только реестр ЗОКИИ.
      И вот комбинация таких ведомственных подходов + несовершенство исполнения, помноженная на спешку (законы принимались очень быстро) и привела к стольким вариантам трактовок законодательства при его исполнении.
      

     И что теперь делать субъекту КИИ?
   
  1. Определится с подходом к трактовке (а,б,в,г)
  2. В рамках логики варианта подхода  реализовывать требования законодательства.
  3. Фиксируйте все действия по выполнению 187-ФЗ в рамках своего подхода, будьте готовы аргументированно отстаивать свою позицию при проверках прокуратуры и регуляторов.
    Все перечисленные подходы законны, вот ничего не делать - незаконно. Но пока не наказуемо, до введения нового КоАП .
   На уголовную ответственность они вообще не влияют, ФСБ сама все решит при необходимости.
   Не ждите когда споры сторон закончатся, для этого требуется изменение законодательства.
   
   Я придерживаюсь позиции "б", методика выполнения 187-ФЗ при таком подходе здесь:
https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost/view/226310220/


P. S. Телеграм-группа для обсуждения заметки  https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности