понедельник, 3 декабря 2018 г.

Фуникулеры это КИИ? Надо бы разобраться.


     Сообщение в СМИ о совершенной кибератаке на компьютеры управления канатной дороги в Москве создало интригу, а не п.1 Ст.274.1 УК РФ это? Может это и будет первый прецедент уголовного преследования за вредоносное воздействие на объект КИИ? И компьютерная атака есть, и ущерб нанесен, и даже заявление от пострадавшего есть.Нет только ясности с отнесением систем управления канатными дорогами к объектами КИИ. Попробуем разобраться. К тому же отличный повод обкатать методики самоидентификации объектов КИИ от регуляторов.

      ФСТЭК рекомендует смотреть лицензии, ОКВЭД и прочие уставные документы.
1. У владельца канатной дороги, среди нескольких десятков видов деятельности, заявлен  и ОКВЭД 49.31.25 "Перевозка пассажиров фуникулерами, подвесными канатными дорогами и подъемниками, являющимися частью городской или пригородной транспортной системы"

H - Раздел "Транспортировка и хранение".

49 - Класс "Деятельность сухопутного и трубопроводного транспорта".

49.3 - Подкласс "Деятельность прочего сухопутного пассажирского транспорта".

49.31 - Группа "Деятельность сухопутного пассажирского транспорта: внутригородские и пригородные перевозки пассажиров".

49.31.2 - Подгруппа "Деятельность прочего сухопутного транспорта по регулярным внутригородским и пригородным пассажирским перевозкам".

    То есть, по ОКВЭД организация явно работает в сфере транспорта.

2. Приказ Росстата от 23.05.2016 N 244 (ред. от 03.07.2017)
"Об утверждении собирательных классификационных группировок "Платные услуги населению" на основе Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029-2014 (КДЕС Ред. 2) и "Платные услуги населению" на основе Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034-2014 (КПЕС 2008)" (Зарегистрировано в Минюсте России 15.06.2016 N 42540)
Услуги по пассажирским перевозкам фуникулерами, подвесными канатными дорогами и лыжными подъемниками

      Здесь уже не так однозначно описано: указаны пассажирские перевозки, но не указано что это транспорт.
3. Смотрим лицензии: Лицензий никаких у организации нет.
4. Есть явное понимание, что присутствует автоматизированная система управления оборудованием, осуществляющим перевозку пассажиров. Осталось понять, а является ли фуникулер транспортным средством?
4.1 Основной регулятор в транспортной сфере - Минтранс и Рострнаснадзор. Если фуникулеры транспортные средства, то на них должны распространятся их требования. Проверяем области действия транспортных регуляторов:
Постановление Правительства РФ от 11.06.2004 N 274 (ред. от 16.08.2018)
"Вопросы Министерства транспорта Российской Федерации"
Министерство транспорта Российской Федерации является федеральным органом исполнительной власти в области транспорта, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере гражданской авиации, использования воздушного пространства и аэронавигационного обслуживания пользователей воздушного пространства Российской Федерации, авиационно-космического поиска и спасания, морского (включая морские порты), внутреннего водного, железнодорожного, автомобильного, городского электрического (включая метрополитен) и промышленного транспорта, дорожного хозяйства, эксплуатации и обеспечения безопасности судоходных гидротехнических сооружений, обеспечения транспортной безопасности, а также государственной регистрации прав на воздушные суда и сделок с ними и организации дорожного движения в части организационно-правовых мероприятий по управлению движением на автомобильных дорогах.
Постановление Правительства РФ от 07.04.2004 N 184 (ред. от 28.07.2018) "Вопросы Федеральной службы по надзору в сфере транспорта"
Федеральная служба по надзору в сфере транспорта является федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) в сфере гражданской авиации, использования воздушного пространства Российской Федерации, аэронавигационного обслуживания пользователей воздушного пространства Российской Федерации, авиационно-космического поиска и спасания, морского (включая морские порты), внутреннего водного (за исключением маломерных судов, используемых в некоммерческих целях), железнодорожного транспорта, автомобильного и городского наземного электрического транспорта (кроме вопросов безопасности дорожного движения), промышленного транспорта и дорожного хозяйства, а также обеспечения транспортной безопасности в этой сфере и на метрополитене.

     Вроде бы все отлично - городской+наземный+электрический=все признаки канатной дороги на лицо.
     Есть ли правила от регуляторов для канатных дорог? Есть, только от других, а не транспортных.
Приказ Ростехнадзора от 06.02.2014 N 42 (ред. от 28.04.2016)
"Об утверждении Федеральных норм и правил в области промышленной безопасности "Правила безопасности пассажирских канатных дорог и фуникулеров"
(Зарегистрировано в Минюсте России 13.05.2014 N 32252).
    4.2. Может нам закон о транспортной безопасности поможет определится? Если он на фуникулеры распространяется, то явно это транспорт.
Федеральный закон от 09.02.2007 N 16-ФЗ (ред. от 03.08.2018) "О транспортной безопасности"
ж) транспортные средства городского наземного электрического транспорта;
      Букв много, но придется еще потерпеть.

      И отправляет нас 16-ФЗ к Федеральному закону от 08.11.2007 N 259-ФЗ (ред. от 03.07.2016)
"Устав автомобильного транспорта и городского наземного электрического транспорта", и ждет нас сюрприз: Настоящий Федеральный закон определяет общие условия перевозок пассажиров и багажа, грузов соответственно автобусами, трамваями, троллейбусами, легковыми автомобилями, грузовыми автомобилями, в том числе с использованием автомобильных прицепов, автомобильных полуприцепов (далее также - транспортные средства), а также общие условия предоставления услуг пассажирам, фрахтователям, грузоотправителям, грузополучателям, перевозчикам, фрахтовщикам на объектах транспортных инфраструктур.
Наземные электрический транспорт - это исключительно трамваи и троллейбусы.
     Зато есть Федеральный закон от 21.07.1997 N 116-ФЗ (ред. от 07.03.2017) "О промышленной безопасности опасных производственных объектов"(с изм. и доп., вступ. в силу с 25.03.2017)
 Используются стационарно установленные грузоподъемные механизмы (за исключением лифтов, подъемных платформ для инвалидов), эскалаторы в метрополитенах, канатные дороги, фуникулеры;
III класс опасности - для подвесных канатных дорог - опасные производственные объекты средней опасности

    Получается, что с точки зрения действующего федерального законодательства, канатные дороги и фуникулеры рассматриваются как стационарно установленные пассажироподъемные механизмы, но не как транспортные средства.
    ИТОГ: АСУ фуникулера - это АСУ подьемного механизма опасного производственного объекта, функционирующего в сфере спорта и развлечений. АСУ есть, перевозка пассажиров есть, а сферы транспорта нет.
     Но это пока.
Федеральный закон от 29.12.2017 N 442-ФЗ
"О внеуличном транспорте и о внесении изменений в отдельные законодательные акты Российской Федерации"
Начало действия документа - 30.12.2018.

13) подвесная канатная дорога транспортная - вид внеуличного транспорта, подвижной состав которого перемещается по несущему канату, тяговым канатам или посредством несуще-тягового каната, которые поддерживаются опорами;
Статья 4. Виды внеуличного транспорта
К видам внеуличного транспорта относятся:

1) метрополитен;

2) монорельсовый транспорт;

3) подвесная канатная дорога транспортная (далее - канатная дорога);


4) фуникулер транспортный (наземная канатная дорога транспортная) (далее - фуникулер)

     И регуляторы транспортные подтянулись:
 Проект Постановления Правительства РФ
"Об определении объектов инфраструктуры внеуличного транспорта, являющихся объектами транспортной инфраструктуры" (по состоянию на 22.08.2018)

Важное: При этом в отношении подвесных канатных дорог и фуникулеров транспортных, применение законодательства в области обеспечения транспортной безопасности представляется избыточным в виду низкой социальной значимости указанных объектов, незначительного пассажирооборота и малым удельным весом в транспортном комплексе Российской Федерации.

     То есть, 16-ФЗ  "О транспортной безопасности" на канатные дороги и фуникулеры распространяться не будет. А вот для 187-ФЗ таких исключений не прописано.
      И через 30 дней АСУ фуникулера становится объектом КИИ! 
      Посмотрим что ждет новоявленного субъекта КИИ (московская канатная дорога), исходные данные с пресс-релизов на официальном сайте.

1. Пропускная способность 1600 человек/час

Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые:

б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)

более или равно 50, но менее 1000

более или равно 1000, но менее 5000

более или равно 5000

2. 280(35*8 человек) +40 (открытые места) +8VIP=328 мест.

Причинение ущерба жизни и здоровью людей (человек)
более или равно 1, но менее или равно 50
более 50, но менее или равно 500
более 500

АСУ канатной дороги по одному показателю попадает под 2 категорию значимости

   Думаю, что произошедшая хакерская атака не позволит уйти владельцам канатных дорог от выполнения 187-ФЗ по малозначительности (по аналогии с транспортной безопасностью). И это правильно.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

16 комментариев:

  1. Как-то странно выходит. Регулятор нам талдычит, что в вопросе приобретения статуса субъекта КИИ надо исходить из видов деятельности, установленных ОКВЭД, Уставом, лицензиями. И вот получается интересная ситуация, что по ОКВЭД проходим, но в законодательстве о транспортной безопасности нет (которое является составной частью сферы транспорта), поэтому делаем вывод, что не субъект.

    ОтветитьУдалить
    Ответы
    1. Не так. Речь идет об объекте КИИ,а не субъекте КИИ.
      ОКВЭД показал, что есть смысл искать в этой организации объект в сфере транспорта. Здесь хорошо иллюстрируется противоречие между 187-ФЗ и ПП127. По 187-ФЗ нет объекта КИИ, а по ПП127 - есть. Логика ПП127: есть основной процесс - перевозка пассажиров, он выявляется как критический, есть АСУ для обеспечения критического процесса, хорошо показатели значимости ложатся.

      Удалить
    2. Ну тут согласен, что ситуация сложная. По 187-ФЗ объект КИИ - это любая ИС, ИТС, АСУ, принадлежащая субъекту. Т.е. первичнее определиться субъект ты или нет, так как ищ этого пойдут все вытекающие действия. А ПП-127 больше акцентировано именно на объектах КИИ, которые, как оказывается по мнению регулятора, должны быть и из сферы, и с критическими процессами, а все остальное, что не попало в перечень ОКИИ, подлежащих категорированию, - не ОКИИ.
      Какой логикой будет руководствоваться следователь, если вдруг статья будет переквалифицирована? Следователь и суд действуют исходя из положений нормативных правовых актов, а не устных (или письменных, не подвергавшихся правовой экспертизе) пояснений.

      Удалить
    3. 1. Сфера действия ПП127 жёстко задана в самом 187-фз. И в неё не входит идентификация субъектов и объектов КИИ. Следствие будет вести сотрудник ФСБ, у него есть выбор привлечь к экспертизе ФСБ или запросить экспертное заключение у ФСТЭК.

      Удалить
    4. Этот комментарий был удален автором.

      Удалить
    5. Следователь, суд, прокурор могут и не запрашивать никаких разъяснений у ФСТЭК России, так как в 187-ФЗ довольно четко и ясно изложено, что есть объект КИИ, что есть субъект КИИ, какими формальными признаками обладают эти сущности. Для производства по уголовным делам по ст. 274.1 УК РФ наличие или отсутствие категории не имеет никакого значения. Учитывая все вышеизложенное, по моему скромному мнению, следовать, прокурор, судья могут и не открывать ПП-127. А даже если и откроют, то они как юристы, если увидят какие-либо нестыковки между 187-ФЗ и ПП-127, будут отдавать приоритет Закону, который имеет большую юридическую силу.

      Предварительное следствие по 274.1 может вести и следователь МВД.

      Удалить
    6. а я про разъяснения ничего и не писал, я про экспертное заключение о том, что АСУ фуникулера относится к критической информационной инфраструктуре РФ. Либо следователь самостоятельно определит и возьмет все риски на себя.

      Удалить
    7. Ну, собственно, это и есть работа следователя, все риски всегда только на нем. Да и суд, обычно, слушает следователя, который в любом деле работает, как пчелка. Воо только естт небольшое исклбчение - экспертизы, заключения по которым даются еще одним участником уголовного судопроизводства - экспертом. И вот работники ФСТЭК России таковыми никак не являются.
      В любом случае, по 187-ФЗ канатная дорога подходит под субъекта, а ее АСУ - под объект. Терпеть все в руках следователя МВД и следственных органов ФСБ, которые могут принудительно изъять дело по подследственности.

      Удалить
    8. Да, ФСБ может подобное провести.

      Удалить
    9. 1. Пропускная способность 1600 человек/час

      Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые:

      б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)

      более или равно 50, но менее 1000

      более или равно 1000, но менее 5000

      более или равно 5000


      Речь разве не идет о тыс.человек? т.е. 50000 и 1млн.?

      Удалить
    10. Вы правы. По этому показателю будет без категории значимости.

      Удалить
  2. И все-таки, как определить ущерб в данном случае по показателю "Нарушение и/или прекращение функционирования объектов транспортной инфраструктуры"? Ведь, есть альтернативные способы преодолеть этот маршрут - учитываем ли мы это? А также кол-во человек - считаем по времени простоя, учитывая пассажиропоток? Как показывает практика - в ходе процедуры категорирования можно учесть сроки восстановления, но сложно учесть сроки всех бюрократических проволочек, необходимых, чтобы канатка вновь запустилась. Например, срок восстановления работоспособности АСУ - 1 день, но канатка через день все-равно не запустится, потому, что нужно сформировать еще кучу служебок, провести расследование инцидента и т.д., только после чего власти снова смогут выдать разрешение на запуск канатки.

    ОтветитьУдалить
    Ответы
    1. Я сторонник применения проектных цифр, иначе все от лукавого получается. Когда нам выгодно одни цифры показываем, а как ответственность - так другие. ФСТЭК уже неоднократно говорил, что категорию необходимо определять из максимально возможного ущерба и последствий.

      Удалить
  3. Вариант с учетом различных "обходных путей" рабочий конечно. И ФСТЭК признает оптимизированную категорию, при должном уровне аргументации субъекта. Но это тупиковый путь, с точки зрения смысла ИБ. Представьте, что у вас категория значимости фуникулера меняется в зависимости от дня недели. А еще от погоды. Так же и с обходными путями, закрыли на ремонт объезд и все -категория выросла. вы же не рассчитываете остальные системы обеспечения фуникулера по наименьшему показателю, почему такое исключение для системы защиты?

    ОтветитьУдалить
  4. Уголовное дело возбуждено по ч.1 ст.273 УК РФ, следствие ведёт МВД.

    ОтветитьУдалить