среда, 26 сентября 2018 г.

Регуляторы в сфере безопасности КИИ. Часть 1.



 
    Заметка Алексея Лукацого https://lukatsky.blogspot.com/2018/09/blog-post_25.html подтолкнула к обобщению накопленной информации по особенностям регулирования 187-ФЗ.       Ранее я уже неоднократно касался данной темы, например в https://valerykomarov.blogspot.com/2018/05/blog-post_22.html 
Часть 1. Ответный ход в дискуссии с Алексеем Лукацким

а) Моя позиция - только суд может отнести организацию к субъектам КИИ. Выявить наличие признаков, присущих объектам КИИ при проведении проверок организаций могут сотрудники ФСБ и ФСТЭК. Основания для проведения таких проверок и последующие процедуры будут описаны ниже,во второй части. 
    Но вопрос с проверками Перечней во ФСТЭК конечно интересный. Имеет ли полномочия ФСТЭК отказаться принять Перечень объектов КИИ, полученный от организации не являющейся субъектом КИИ (например от ОМСУ)? Ведь официальный отказ должен быть мотивирован и он фактически означает право ФСТЭК определять "не субъектов КИИ" среди организаций. Парадоксальная ситуация: указать "выполнять 187-ФЗ" полномочий нет, а вот указать "не выполнять" есть.
     И ФСБ в проведении этапа инвентаризации объектов КИИ наиболее заинтересован, особенно в результате выполнения этапа - Перечне объектов КИИ. Только с этого момента, субъект  имеет возможность выявлять компьютерные атаки на объекты КИИ и информировать НКЦКИ об инцидентах. А вот результат этапа категорирования интересен только ФСТЭК, поскольку их интересуют только значимые объекты КИИ. На мой взгляд, ФСБ придерживается позиции, что все без исключения ИС/АСУ/ТКС, функционирующие в 13 сферах являются объектами КИИ, не смотря ни на какие критические процессы. Вот они и не "приближаются" к ПП127.

б) Совершенно верно отмечено, что при утверждении ПП127 был изменен пункт 2 самого приказа об утверждении ПП127 
"2. Федеральному органу исполнительной власти, уполномоченному в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, давать разъяснения по применению настоящего постановления."
и у ФСТЭК такие полномочия изъяли.
     
   Но в ст. 7 "Категорирование объектов критической информационной инфраструктуры" 187-ФЗ прямо указано:

"6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий."

    В п.8 и п.9 данной статьи четко прописан объем и процедура данной проверки:

8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.
9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

    Итог: полномочия ФСТЭК как регулятора процедур категорирования объектов КИИ установлены в 187-ФЗ, там же ограничена область регулирования. Основная проблема для субъекта КИИ - отсутствие в законе процедуры апелляции. ФСТЭК озвучила свою мотивированную позицию о категории значимости объекта - субъект обязан в течении 10 календарных дней переоформить акт категорирования объекта и форму уведомления.

в) По требованиям ИБ я бы добавил, что новая редакция 31 приказа ФСТЭК устанавливает требования по ИБ и для незначимых объектов КИИ, если это АСУ. На схеме Алексея Лукацкого необходимо отразить еще один квадратик.

г) Я не вижу функционала регулятора у НКЦКИ. Это просто координирующий орган, по сути "мозговой центр". Все полномочия и задачи НКЦКИ прописаны в приказе №366 и в п.2 Ст.5 187-ФЗ. Согласно п.4 Ст. 6, регулятор - ФСБ. А НКЦКИ -это отдельная организация в ФСБ, которая имеет свой отдельный бланк и эмблему. Интересно кому подчиняется руководитель НКЦКИ. Как руководитель 8 Центра понятно кому, а вот как НКЦКИ?

д)  К"Методические рекомендации по осуществлению прокурорского надзора за исполнение законов при расследовании преступлений в сфере компьютерной информации" надо относится очень аккуратно. Общее с КИИ здесь:
1. установление причинно-следственной связи нарушения эксплуатации с нанесенным вредом
2. определение правил эксплуатации
3. процедуры и экспертизы по доказательству вины
Принципиальные отличия:
1. вред инфраструктуре, а не информации
2. нет ограничения воздействий, идентичных воздействию злодея (не требуется блокировка, модификация  информации и прочее)


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Комментариев нет:

Отправить комментарий