воскресенье, 11 марта 2018 г.

Так кто же обязан выполнять ФЗ 187 с 01.01.2018?

   Так кто же обязан выполнять ФЗ 187 с 01.01.2018?
   Осталось 2 месяца, а «туман законодательства» все такой же густой и непроницаемый для исполнителей на местах.
   Если посмотреть на опыт законотворчества ФСТЭК, то четко видно, что область защиты КИИ выбивается из традиционных "конфиденциальных" требований ФСТЭК.
   Смотрим Приказ 31
    Четко обозначена зона применения требований: КВО и ПОО. Есть конкретные формулировки кто к ним относиться, есть методика МЧС по отнесению объектов к ним. Ведется реестр КВО. Отдельно выделил п.5, по которому требования приказа №31 не действуют на ИС, обрабатывающие ГТ.
   Смотрим приказ 17
   Опять же, четко указана область применения Требований. Ведется реестр ГИС. И не распространяются на ГИС с ГТ.
   Смотрим ФЗ 187 и проекты подзаконных актов:
«критическая информационная инфраструктура» - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов; - определение КИИ нас прямо отправляет к определению «Объекта КИИ».
«объекты критической информационной инфраструктуры» - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры; - из определения следует, что ВСЕ «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления» у субъекта КИИ будут являться критической информационной инфраструктуры.          Вот все что создал субъект и ввел в промышленную эксплуатацию, вот это все КИИ. И не важно, что бухгалтерская 1С или внутренний портал организации никаким образом не влияет на производственные процессы, потенциально могущие повлечь последствия для страны или окружающей среды. Да, эти ИС не будут значимыми объектами КИИ (к ним невозможно применить ни один из критериев значимости), но уголовная ответственность остается (это очень наглядно осветил Михаил Емельянников в своем блоге https://emeliyannikov.blogspot.ru/2017/10/blog-post_25.html), требования по категорированию КИИ надо будет выполнять, ГосСОПКА та же остается.
   Была надежда на конкретизацию процессов в ПП категорировании КИИ. В первой версии проекта так и было: «осуществление основных видов деятельности субъекта». Но во вторую версию внесли изменения, теперь категорированию подлежат объекты, которые обеспечивают ВСЕ процессы субъекта. Требования распространяются на объекты КИИ, обрабатывающих ГТ.
   Смотрим ФЗ 187, кому же так «повезло»? Кто будет субъектом КИИ?
«субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.».
   Особенность формулировки определения "субъект КИИ" в том, что сфера деятельности указана для ИС, а не для организации. Возможны пять варианта:
1. Организация осуществляет свою деятельность в указанных сферах деятельности, но вообще не автоматизирована и не имеет своих ИС.
2.  Организация осуществляет свою деятельность в указанных сферах деятельности, но не имеет своих ИС - пользуется услугами подрядчика.
3. Организация осуществляет свою деятельность в указанных сферах деятельности и имеет собственные ИС/арендует чужие.
4. Организация не осуществляет свою деятельность в указанных сферах деятельности, но  имеет ИС, функционирующие в указанных сферах деятельности.
5. Организация не осуществляет свою деятельность в указанных сферах деятельности и не имеет ИС, функционирующие в указанных сферах деятельности.

Самый явный пример субъекта КИИ - вариант №3.
Пример скрытого субъекта КИИ - вариант №4.
Пример самого загадочного субъекта КИИ - вариант № 1.

   С госорганами и госучреждениями все понятно, государство владелец и вправе устанавливать любые требования в их работе. Полная определенность какие организации к ним относить.
   А вот с остальным задачка.
   Я лично считаю, что отнесение организации к какой-либо сфере деятельности необходимо проводить по реестру лицензий. Есть лицензия на оператора связи – сфера связи, есть лицензия на перевозку людей/грузов – сфера транспорта и т.д. Все в рамках перечня из N 99-ФЗ (ред. от 29.07.2017).
P.S. В свое время Alexey Lukatsky уже поднимал эту тему в своем блоге http://lukatsky.blogspot.ru/2017/08/blog-post_9.html, и выразил мнение, что будет отраслевое распределение.     В законе же термин «отрасль» не используется и никакой определенности так и не появилось с августа. Единственное, что ФСТЭК рассудила спор Alexey Lukatsky и Вихорева о возможности обработки ГТ в КИИ. ГТ в КИИ есть и будет, Alexey Lukatsky был прав.

2 комментария:

  1. Добрый день! Хочу сказать спасибо за такое количество интересного и полезного материала по КИИ.

    "Вот все что создал субъект и ввел в промышленную эксплуатацию, вот это все КИИ. И не важно, что бухгалтерская 1С или внутренний портал организации никаким образом не влияет на производственные процессы, потенциально могущие повлечь последствия для страны или окружающей среды. "

    На лекции ТБ форума (http://www.proib.ru/2018/02/2018-140218.html) была озвучена следующая позиция ФСТЭК:

    необходимо определить ВСЕ процессы в рамках выполнения полномочий (функций) осуществления видов деятельности субъекта КИИ. Далее нужно из всех этих процессов выделить критические процессы, и выявить какие объекты выполняют эти процессы. А уже далее создавать перечень объектов КИИ и категорировать их.

    В случае с 1С и бухгалтерией, я думаю что описать эти процессы нужно, но поскольку они не являются критическими и не влияют на производственные процессы, то и уголовная ответственность отпадает.

    ОтветитьУдалить
    Ответы
    1. Это прямо прописано в ПП127, не только на ТБ-ФОРУМЕ озвучено.
      Только в ст.274.1 УК РФ только один критерий для применения - ИС относится к КИИ. И вред нанесен КИИ, а не производственному процессу. Правоприменительная практика покажет.

      Удалить