пятница, 31 мая 2019 г.

Официальный сайт субъекта КИИ это объект КИИ?





    При составлении Перечней объектов КИИ, подлежащих категорированию у субъекта КИИ встает вопрос с внесением в него официального интернет-сайта субъекта КИИ. Попробуем разобраться в этом вопросе.
  Согласно 187-ФЗ для этого требуется совпадение двух факторов: это должна быть ИС и эта ИС должна функционировать в 13 сферах.

  И получается у нас такая картина:
1. Смотрим 149-ФЗ. Есть отдельное определение информационной системы и интернет-сайта. 
"сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет".
    То есть, речь явно и идет об ИС, имеющей доступ в Интернет и все отлично ложится на определение объекта КИИ в 187-ФЗ.
    Иногда речь идет об интернет-порталах. Такого определения в 149-ФЗ нет, но оформляют их как ИС.

 
   Если у организации есть свой интернет-сайт, то у нее должна быть ИС. Если эта организация ФОИВ или ОИВ, то должна быть ГИС.
   Об этом прямо говорит п.4. ст.14 149-ФЗ. Об этом говорит судебная практика.
   Так же есть Приказ ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010"Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования", который для ФОИВ описывает интернет-сайты как ГИС.
   Но если зайти на сайт Минкомсвязи, то там указаны только 
Информационные системы

    То есть отдельной ГИС "Сайт Минкомсвязи" в перечне нет. Возможно, что сайт развернут в рамках ГИС с другим "неявным"названием.
     Вот Минюст прямо указывает, что его сайт это ГИС.
    Смотрим официальный сайт нашего главного регулятора по категорированию КИИ - ФСТЭК России и видим удивительное: сайт есть, а ГИС нет вообще
     А если сайт не относить к ИС, то тогда он не объект КИИ согласно 187-ФЗ?

 2. Попробуем разобраться с сферами деятельности интернет-сайтов. Я уделил такое внимание в первой части к ГИС по той причине, что официальный сайт ФОИВ и ОИВ, выполняющих функции в сферах 187-ФЗ "автоматом" функционируют в соответствующих сферах. С сайтами подведомственных организаций сложнее, необходимо внимательно изучать распоряжения о целях создания самих подведов. Отдельным моментом станет вопрос с владельцем ИС "Интернет-сайт ОИВ". Если все совпало (сфера и собственник), то такую ИС необходимо включить в Перечень объектов, подлежащих категорированию. При категорировании будет грозить 2 показателя:
- Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)
-  Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).
   Здесь уже очень внимательно требуется изучить информацию, указанную на самом сайте и в документах на его создание. При подаче информации регулятору, потребуется доказывать неприменимость этих показателей  к данной ИС.
    С коммерческими субъектами КИИ сложнее. Я вижу только 5 сфер из 187-ФЗ, под которые могут попасть интернет-сайты:
-транспорт
-здравоохранение
-связь
-наука
-банковская и иная финансовая

   Под значимые могут попасть из них только транспорт и связь. Под сферу связи гарантированно попадают сайты организаций, которые внесены в реестр ОРИ. Просто в силу определения 149-ФЗ "Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет".
   Под показатели значимости в транспорте интернет-сайту попасть очень сложно, оказание транспортных услуг должно предоставляться исключительно через сайт, ни телефонов или офисов. И касаться будет только субъектов КИИ, которые свою экономическую деятельность заявили в сфере транспорта. Вопрос с интернет-агрегаторами такси или логистики пока еще дискуссионный.
   Вариантов нанесения вреда здоровью в результате компьютерной атаки на сайты в сфере здравоохранения конечно можно напридумывать, но не вижу в этом практического смысла.
    В сфере науки вижу только вариант по показателю "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации", но это настолько узкий случай и требуется столько совпадений, что маловероятное определение категории для сайта научной организации.
     
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

12 комментариев:

  1. "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации" - вот тут не понятно. Параметр такой есть, а в категориях упоминания про непосредственное исполнение такого договора нет, есть срыв переговоров и подписание. Т.е. Исполнение не попало?

    ОтветитьУдалить
    Ответы
    1. а "нарушение условий договора" вы как трактуете? Для третьей категории указано "нарушение условий договора межведомственного характера (срыв переговоров или подписания)". И в показателях и в значениях показателя присутствует.

      Удалить
    2. Валерий, тогда подскажите)
      Я так понимаю подразумевается именно срыв переговоров по подписанию или непосредственно подписание, а не то, что договор уже существует и прерывается его исполнение.

      Удалить
    3. формально вы правы. В скобках должно быть уточнение, что в том числе....

      Удалить
  2. На мой взгляд, данная заметка содержит небольшую неточность, но о ней чуть ниже.
    Согласен с тем, что сайт организации – информационная система, поэтому возьмем это за аксиому.
    Согласен с тем, что для включения официального сайта в Перечень объектов КИИ, подлежащих категорированию, необходимо соблюдение ряда условий.
    А теперь к неточности.
    Формирование Перечня объектов КИИ, подлежащих категорированию, осуществляется в соответствии с ПП-127, а не согласно 187-ФЗ (в нем даже нет упоминания про этот Перечень). Т.е. для включения объекта в Перечень ОКИИ, подлежащих категорированию, должны совпадать некие факторы (о которых ниже) не только из 187-ФЗ, а еще и из ПП-127 (это я говорю про второй абзац рассматриваемой заметки).
    В соответствии с ПП-127 категорированию подлежат не все объекты КИИ, а только те, «которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"». Также вспомним определение объекта КИИ, приведенное в 187-ФЗ, согласно которому объектами КИИ является некое множество ИС/ИТ/АСУ, принадлежащих субъекту КИИ. Обобщая эти два постулата, может закрасться подозрение, что законодатель хоть не прямо, но косвенно говорит, что все ИС/ИТС/АСУ субъекта КИИ являются объектами КИИ, но категорировать надо не все из них. На данный счет ранее было много полемик, в ходе которых доказывалось и опровергалось это предположение. Однако недавно ФСТЭК России предложил для общественного обсуждения проект изменений в КоАП, а затем опубликовал его доработанную версию и сводку рассмотрения предложений от общественности (Вы ее публиковали здесь в своем блоге). В этой сводке есть замечательные слова, которые подтвердили указанное выше предположение, что не все объекты КИИ необходимо включать в Перечень объектов КИИ, подлежащих категорированию: «… предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации». Т.е. регулятор допускает существование таковых.
    Кроме того, сложившаяся практика формирования Перечней ОКИИ, подлежащих категорированию, показывает, что в него включаются те из объектов КИИ, которые обрабатывают критические процессы, заранее определенные комиссией по категорированию.
    Итого получается, что сайт субъекта КИИ – это всегда объект КИИ, но не всегда объект КИИ, подлежащий категорированию. Данная ИС подлежит включению в указанный перечень, если она функционирует в одной из 13 сфер, указанных в 187-ФЗ, и если обрабатывает некий критический процесс.
    Поэтому Ваш второй абзац рассматриваемой заметки я бы предложил изложить так:
    «Согласно 187-ФЗ и ПП-127 для этого требуется совпадение трех факторов: это должна быть ИС, эта ИС должна функционировать в одной из 13 сфер, эта ИС должна обеспечивать или обрабатывать критический процесс».

    ОтветитьУдалить
    Ответы
    1. Самое главное - определить значимый обьект или нет. Если нет, то и успокоиться, пока сам ФСТЭК не укажет обратного.

      Удалить
    2. Пока КоАП не поменяли. Уведомлять то НКЦКИ надо и по незначимым объектам.
      "2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –



      влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей."

      Удалить
    3. Алексей, пока я вижу информацию, опубликованную в соответствующем разделе на официальном сайте ФОИВ. И эта информация позволяет субъекту КИИ утверждать, что сайт не ИС,а значит не объект КИИ.

      Удалить
    4. Я предположил, что сайт - это ИС в контексте своего комментария.
      Тем не менее, чтобы считать объектом КИИ сайт субъекта КИИ, то он должен формально удовлетворять определению ИС, которое приведено в 149-ФЗ, в этом же Законе имеется и определение понятия сайта в сети "Интернет".

      Удалить
    5. Собственно этому и посвящена моя заметка, в ней все необходимые цитаты из законов приведены.

      Удалить
  3. Алексей, изложить по предложенной формулировке "«Согласно 187-ФЗ и ПП-127 для этого требуется совпадение трех факторов: это должна быть ИС, эта ИС должна функционировать в одной из 13 сфер, эта ИС должна обеспечивать или обрабатывать критический процесс». можно, только ничего не изменится. Пока есть "иные" в критических процессах.

    ОтветитьУдалить
  4. https://p-kamchatsky--kam.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=45951738&delo_id=1540006&new=0&text_number=1&fbclid=IwAR2xrM9BD0XepGgD-GWBpMLU_93pq0SnodgGl2NGGO-g4WYAtVXHC5xlNI8

    ОтветитьУдалить