вторник, 22 мая 2018 г.

Для кого субъект КИИ важнее?


       Несовершенство формулировок и определений ФЗ-187 закономерно порождает множество споров,в котором стороны приводят аргументированные мнения.  При попытках определить организации, подпадающие под действие 187-ФЗ используются материалы презентации            Е. Торбенко (ФСТЭК) с ТБ-форума.  Большинство споров специалистов заканчивается решением - надо запросить ФСТЭК. Более того, на Positive Hack Days 8 представитель 8 Центра ФСБ прямо ответил, что это компетенция ФСТЭК, а не ФСБ.

       Яркими и грамотными примерами реализации такого подхода на практике являются заметки коллег по ИБ:
     "Субъект КИИ или не субъект? Вот в чем вопрос!" https://plutsik.blogspot.ru/2018/05/blog-post.html
      "КИИ. Какие ГОСы попадают сферу КИИ?"http://sborisov.blogspot.ru/2018/05/blog-post.html?spref=tw
       Я не оспариваю возможность такого подхода к определению субъекта КИИ и не считаю позицию ФСТЭК ошибочной, я всего-лишь пытаюсь донести нюансы 187-ФЗ и предостеречь коллег от опасных иллюзий.
       Ранее я уже разбирал полномочия ФСБ и ФСТЭК по трактовке определений 187-ФЗ:
https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
     
      В настоящей заметке хочу еще раз привлечь внимание к отсутствию монополии ФСТЭК на определении субъектов КИИ.

      Вопрос: С какой целью ФСБ и ФСТЭК определяет субъектов КИИ среди организаций страны?
      Исходная информация:

1. ФСТЭК отвечает за выполнение трех задач: проверка правильности присвоения категорий значимости объектам КИИ, ведение реестра ЗНАЧИМЫХ объектов КИИ, устанавливает требования по обеспечению безопасности ЗНАЧИМЫХ объектов КИИ и контролирует их выполнение субъектами КИИ.
2. ФСБ отвечает за выполнение одной задачи по 187-ФЗ: "обнаружение, предупреждение и ликвидация последствий компьютерных атак" на ВСЕХ объектах КИИ.
3. ФСБ полностью отвечает за выполнение 194-ФЗ, который касается ВСЕХ объектов КИИ: "организует в пределах своих полномочий оперативно-розыскную деятельность по выявлению, предупреждению, пресечению и раскрытию преступлений, борьба с которыми отнесена к ведению органов безопасности, а также организует такую деятельность в иных случаях, предусмотренных федеральным законом; определяет порядок осуществления органами безопасности внедрения в преступные группы и других оперативно-розыскных мероприятий;" и "проводит криминалистические и другие экспертизы и исследования" (Положение ФСБ), предварительное следствие по Ст.274.1 УК РФ (Ст.151 УПК РФ).
4. ФСБ отвечает за выполнение 193-ФЗ. Формально касается ВСЕХ  объектов КИИ.
5. Прокуратура отвечает за законность решений и действий ФСБ и ФСТЭК в отношении ВСЕХ субъектов КИИ.
 
    Ответ: 

   ФСТЭК определяет субъектов КИИ среди организаций страны только для выделения владельцев ЗНАЧИМЫХ объектов КИИ.
   ФСБ выделяет субъектов КИИ среди организаций страны для следующих задач:
1. Функционирование ГосСОПКи.
2. Привлечение к уголовной ответственности по ст.274.1 УК РФ. (Не только субъекта КИИ, но и хакеров атакующих ЛЮБОЙ объект КИИ).
3. Контроль за защитой сведений, составляющих гостайну по 193-ФЗ на объектах КИИ.
   Прокуратура определяет субъектов КИИ среди организаций страны для решения о законности действий ФСБ и ФСТЭК в отношении этих организаций.

   По простому: 
1. ФСТЭК интересуют только ЗНАЧИМЫЕ объекты КИИ.
2. ФСБ и Прокуратуру интересуют ВСЕ объекты КИИ.
3. ФСТЭК может привлечь только к административной ответственности.
4. ФСБ может привлечь к уголовной ответственности.
5. Прокуратура осуществляет надзор за законностью требований ФСБ и ФСТЭК к любым организациям.
5. У ФСТЭК нет права на проведение ОРД, на проведение экспертиз, на проведение следственных действий. А у ФСБ есть.
6. ФСБ интересуют ВСЕ субъекты КИИ не только для выполнения требований 187-ФЗ. Они имеют все ресурсы (оперативники, технари, мозги, следователи) для поимки и привлечения к уголовному наказанию хакеров. Для применения п.1-2 Ст.274.1 следствию обязательно необходимо доказать, что компьютерная атака осуществлялась на объект КИИ, а не просто на информационную систему (это другая статья УК РФ).
7. ФСБ необходимо понимать обоснованность обработки в организации сведений по 193-ФЗ. А для этого организация должна быть субъектом КИИ.

       Примечание: необходимо понимать, что под ФСБ подразумевается не 8 Центр ФСБ, а территориальные органы ФСБ, в зону ответственности которых входит ваша организация. В ФСБ 8 Центр и НКЦКИ не имеют полномочий на решение таких запросов организаций, да и не считают это своей задачей. Просто на конференциях по ГосСОПКе обычно их представители  выступают,а в реальной работе по борьбе с компьютерными атаками задействованы и другие подразделения ФСБ. Это четко указано в проектах приказов ФСБ по КИИ, в части разработки регламента привлечения субъектом КИИ сил  и средств ФСБ для ликвидации последствий компьютерных атак.

       И неформальная публичная информация: 
1. Авторство текста 187-ФЗ принадлежит ФСБ. В том числе и определение "субъект КИИ".
2. На Инфофоруме выступал представитель 8 Центра ФСБ, который представился автором 187-ФЗ и конкретно раздела "определений", включая "объект КИИ" и "субъект КИИ", рассказал о своих замыслах при написании. Собственно, тогда и прозвучало в открытую, что  органы власти это субъекты КИИ по любому. В президиуме находилась Е. Торбенко как официальный представитель ФСТЭК. Никаких возражений по поводу авторства или трактовок определений от нее не прозвучало.

      Итог: Целесообразнее запрашивать мнение того регулятора, для которого это имеет наибольшей практический интерес. И логика подсказывает, что разумнее спрашивать авторов закона.

       Рекомендация: Если вас волнует только административная ответственность, то обращайтесь к ФСТЭК. Если опасаетесь уголовной ответственности, то в ФСБ. В любом случае, рекомендую проверить законность ответов ФСБ и/или ФСТЭК запросом в Прокуратуру.

      * Все новости блога на публичном Telegram-канале  t.me/ruporsecurite 

13 комментариев:

  1. Вроде, не ФСТЭК определяет субъектов КИИ, а сами организации, которые являются владельцами ИС, ИТС, АСУ, самостоятельно принимают на себя статус субъекта КИИ, если указанные системы и/или сети функционируют в сферах, определенных 187-ФЗ, или если организация обеспечивает взаимодействие систем или сетей, функционирующих в определенных сферах. А вот после направления Перечня ОКИИ, подлежащих категорированию, такая организация (субъект КИИ) «засвечивается» перед ФСТЭК. Другой вопрос, что есть организации-явные субъекты КИИ.
    А ведь могут (чисто теоретически) появиться и организации-латентные субъекты КИИ, чьи объекты КИИ могут и не попасть в Перечень ОКИИ, подлежащих категорированию, за отсутствием критических процессов?

    ОтветитьУдалить
  2. 1. Определяют сами организации. Но это обязанность, а не право. Есть государственные органы, которые имеют право проверить выполнение или невыполнения организацией 187-ФЗ. Вот и пытаемся их определить, раз они не указаны в 187-ФЗ прямо.
    2.Я не знаю как связаны критические процессы и Перечень объектов КИИ. В ПП127 п.3 прямо указано " Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры."
    Просто значимые объекты КИИ могут обеспечивать только критические процессы, если объект не обеспечивает критический процесс - к нему не применить показатели категорий значимости. Но это не означает, что он подлежит исключению из Перечня объектов КИИ. Вот в реестре значимых объектов КИИ его не будет точно.

    ОтветитьУдалить
  3. Я немного уточню, в Перечне объектов КИИ или в Перечне объектов КИИ, подлежащих категорированию? Ведь ПП-127 требует готовить и направлять именно второй.

    ОтветитьУдалить
  4. 187-фз требует от субьекта категорировать все обьекты кии.

    ОтветитьУдалить
  5. "Собственно, тогда и прозвучало в открытую, что органы власти это субъекты КИИ по любому."

    Даже если у госоргана нет в собственности ИС?

    Или же здесь подразумевается что вообще любая ИС (бухгалтерия, кадры...) госоргана будут КИИ (пусть и не значимые)?

    ОтветитьУдалить
  6. Нет, речь была про то, что не важна сфера деятельности для ИС органа власти.

    ОтветитьУдалить
  7. Сейчас госорган отвечающий за спорт или культуру не является субъектом КИИ, а хотели без исключений.

    ОтветитьУдалить
  8. Этот комментарий был удален автором.

    ОтветитьУдалить
  9. Доброго времени суток. А орган отвечающий за труд и занятость, является? если посмотреть с двух сторон: социальная и экономическая ?

    ОтветитьУдалить
    Ответы
    1. Социальная и экономическая значимость влияет только на категорию объекта КИИ. Это никак не повлияет на решение об отнесение ОИВ к субъектам КИИ. Судя по ОКВЭД и ОКОГУ, данные органы занимаются только наймом и подбором персонала. Явно никак не совпадает с 13 сферами деятельности из 187-ФЗ. Если вопрос был про "неудавшийся замысел автора 187-ФЗ", то там вообще не важно, достаточно быть ОИВ.

      Удалить
    2. Согласен. немного, даже совсем не корректно спросил. Валерий, согласитесь, любой ОИВ (хотелось бы именно об этом) плюс подведы ведут бухгалтерию, перечисляют зп и прочее. кстати те же данный органы производят выплаты пособий. Плюс оказывают госуслуги. Да, еще и ИС которые не ведомственные а "сопутствующие" - программы для казначейства и прочие. Получается можно очень много отнести к КИИ и смотреть категорию ? И потом, если не отнесешь, то со всеми вытекающими ... Хотя, если исходить из 13 сфер, могу ошибаться

      Удалить
    3. Рекомендую следовать позиции ФСТЭК: Любой ОИВ, обеспечивающий сферы из 187-ФЗ однозначно субъект КИИ. Лютиков очень подробно все рассказал https://www.youtube.com/watch?v=WlVWGMZErHg

      Удалить