вторник, 16 июля 2019 г.

Чем же обеспечивается взаимодействие объектов КИИ?







    В 187-ФЗ задана  сущность субъекта КИИ через туманное - «которые обеспечивают взаимодействия объектов КИИ». Наиболее важна правильная и однозначная интерпретация данного определения для владельцев и операторов ЦОД.

    Смотрим первоисточники в законодательстве:
1. 187-ФЗ.
 "субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей."
     критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
3) порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.
5. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, утверждает по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры."
     Итог: Субъект обеспечивает взаимодействие объектов КИИ, а сеть электросвязи используется для организации взаимодействия объектов КИИ.
     Если под таким субъектом КИИ подразумевается оператор связи, то по 126-ФЗ он оказывает услуги связи, а не услуги по обеспечению взаимодействия объектов КИИ.
Федеральный закон от 07.07.2003 N 126-ФЗ "О связи"
оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии
услуга связи - деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений;
  
    И основной вопрос. Обеспечение взаимодействия объектов КИИ  - это исключительно исполнение операторских функций в сфере связи с использованием сети электросвязи?
    Ведь под обеспечение взаимодействия объектов КИИ можно подвести многое. Например, инфраструктуру, обеспечивающей информационно-технологическое взаимодействие информационных систем (ПП РФ от 08.06.2011 N 451). И Фонд развития информационной демократии и гражданского общества «Фонд информационной демократии» становится субъектом КИИ.

    Или вот какие типы компонентов информационно-телекоммуникационной инфраструктуры (ИТКИ, не ИТКС!), указаны в Приказе Минкомсвязи России от 31.05.2013 № 127 "Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры"
41
Рабочие станции общего назначения
Средства вычислительной техники, предназначенные для непосредственной работы пользователя, в том числе в режиме удаленного доступа к серверным мощностям, включая необходимое периферийное оборудование, в том числе принтеры и сканеры, размещаемые на отдельных рабочих местах и общесистемное ПО, не относящееся к ИС
42
Серверное оборудование, не входящее в состав ЦОД
Серверы и группы серверов, не размещенные в технологически и территориально обособленных ЦОД, а также их общесистемное ПО, технологическое оборудование, необходимое для обеспечения их функционирования (стойки, шкафы, коммутаторы, источники бесперебойного питания)
43
Средства печати и копирования данных, издательские системы
Сетевые принтеры и сканеры, комплексы сканирующих, копирующих, печатающих устройств, включая входящие в их состав рабочие станции со специальным ПО, предназначенным для печати, полиграфического изготовления бланков и другой печатной продукции
44
Внутренняя телекоммуникационная инфраструктура
Локальные вычислительные сети и иные технические и программные средства, обеспечивающие передачу данных в помещениях органов субъектов
45
Телекоммуникационная инфраструктура, обеспечивающая внешнюю связь
Технические и программные средства, обеспечивающие взаимодействие с внешними мобильными комплексами, устройствами, сетями, средства обеспечения доступа в информационно-телекоммуникационную сеть "Интернет", видеоконференцсвязь
46
Программно-аппаратные комплексы информационной безопасности
Межсетевые экраны, средства криптографической защиты информации, программно-аппаратные средства обнаружения атак и иные средства информационной безопасности, выделяемые в единый программно-технический комплекс, в том числе, в целях аттестации или сертификации на соответствие требованиям по защите информации
47
Прочее
К данной группе относятся компоненты ИТКИ, не вошедшие в группы 41-46

    ИТКС и ЦОД там идут отдельно. Типовые компоненты ИТКИ - программно-технические комплексы и средства, выполняющие общие технологические функции, и (или) совместно используемые ИС (средства вычислительной техники, предназначенные для непосредственной работы пользователя).

   2. ПП127 – «Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Только 13 сфер деятельности, отсутствует упоминание об «обеспечивающих взаимодействие». 
Вывод: документ не применим для решения нашего вопроса.

   3. Постановление Правительства РФ от 08.06.2019 № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры"
Настоящие Правила устанавливают порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры (далее - значимые объекты). 
«Обеспечение взаимодействия» не равно «обеспечение функционирования». 
 При подключении значимых объектов субъектами критической информационной инфраструктуры к сети связи общего пользования оператор связи обеспечивает:
информационную безопасность своей сети связи, задействованной при организации взаимодействия значимых объектов, в соответствии с требованиями, устанавливаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;
Замечу, что в 187-ФЗ таких полномочий у Минкомсвязи нет.

   Единственная на данный момент методичка по категорированию, согласованная с ФСТЭК и ФСБ. "Методические рекомендации по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, функционирующим в сфере связи". ОГО «АДЭ» 2019. Не содержит никаких разъяснений по данному вопросу, что вполне логично (она разъясняет как ПП127 выполнять, см.выше). Но есть указание, что сети электросвязи это не ИТКС и не объекты КИИ.
     В Методических рекомендациях от СТЭП ЛОДЖИК v2.0 указано, что «часть инфраструктуры Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, должна рассматриваться в качестве объекта КИИ» (с подобной трактовкой от ФСТЭК сталкивался лично, ее озвучивал Лютиков В.С. на встрече с блогерами).
   Методика относит к процессам обеспечения взаимодействия «предоставление услуг информационного взаимодействия и управления сетью передачи данных для обеспечения взаимодействия ИС 1 и ИС2», «оказание услуг по предоставлению технических средств и управлению информационной инфраструктуры ЦОД» и данные процессы являются критическими. (а вот здесь позиция Лютикова В.С. была иной, системы управления сетью передачи данных являются самостоятельными объектами КИИ в сфере связи.  Этот процесс самодостаточен для идентификации субъекта КИИ по основному определению и не относится к обеспечению взаимодействия).
    И далее, авторы однозначно указывают, что процесс категорирования универсален и применяется субъектом КИИ, идентифицированным через обеспечение взаимодействия объектов КИИ.
    Проект Приказа Минкомсвязи России
"Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры"
1. Настоящий Порядок установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - Порядок) определяет единый подход к установке и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее - средства поиска атак, КИИ соответственно).
    В рабочем порядке была получена позиция Ростелекома, что пункт про взаимодействие относится только к операторам связи и только с помощью сетей электросвязи. Сети электросвязи не объекты КИИ!
    К сожалению, отделы по обеспечению безопасности КИИ в центральном аппарате ФСТЭК и УФСТЭК по ЦФО не ответили на запросы по разъяснению данных вопросов.

Моя позиция:
1. Госорганы и госучреждения не относятся к субъектам КИИ, обеспечивающим взаимодействие объектов КИИ.
2. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей – это исключительно операторы связи.
3. Взаимодействие обеспечивается исключительно сетями электросвязи.
4. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей, руководствуется исключительно актами Минкомсвязь и ФСБ. К нему не относятся ПП127 и приказы ФСТЭК.
5. Для ЦОД есть проблема (для случая наличия связных лицензий), когда владелец инфраструктуры ЦОД и оператор ЦОД различные юрлица. Поскольку через сферу «связь» попадает в субъекты КИИ владелец, а через «обеспечение взаимодействия» оператор. 

P.S. Ретроспектива используемого определения для субъекта КИИ:
13 год – «а также операторы государственных информационных систем, обеспечивающие функционирование и взаимодействие объектов критической информационной инфраструктуры Российской Федерации.»
16 год – «операторы связи, обеспечивающие взаимодействие объектов критической информационной инфраструктуры между собой.»
17 год (первое чтение) – «операторы связи, обеспечивающие взаимодействие объектов критической информационной инфраструктуры между собой.»
17 год (второе чтение)- «российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

14 комментариев:

  1. Общий вывод под №2 – «Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей – это исключительно операторы связи», – звучит странно в свете промежуточного вывода: «Субъект обеспечивает взаимодействие объектов КИИ, а сеть электросвязи используется для организации взаимодействия объектов КИИ».
    Сказать «операторы связи обеспечивают взаимодействие систем и сетей», примерно, то же самое, что «ДРСУ обеспечивает взаимодействие городов и деревень».
    Мегафон или Ростелеком не обеспечивают взаимодействие моего компа с ФБ. Это взаимодействие обеспечивается взаимными усилиями (техническими, финансовыми, программными) обеих сторон – мной и ФБ. Другими словами, оператор связи не обеспечивает взаимодействие, а обеспечивает только возможность осуществления такого взаимодействия.

    ОтветитьУдалить
  2. Об этом и в заметке отдельно указано, что операторы связи оказывают только услуги связи, а уж как другие субъекты КИИ используют результаты оказания услуг вопрос не ко мне.

    ОтветитьУдалить
  3. А вывод написан в границах, заданных 187-фз.

    ОтветитьУдалить
  4. А если часть оборудования ИС объекта КИИ размещается в ЦОДе?

    ОтветитьУдалить
    Ответы
    1. То работники ЦОД могут быть привлечены по ст. 274.1 УК РФ.

      Удалить
    2. Субъектом КИИ от этого ЦОД не станет.

      Удалить
    3. Если немного уточнить и расширить вводные данные: Объект КИИ размещен в ЦОД (пусть будет collocation), при этом использует сетевую инфраструктуру ЦОД для взаимодействия с другими связанными объектами КИИ. И варианты могут быть как:
      1. Другие объекты также расположен в этом ЦОД (ядро и сеть общая, относится к ЦОД и управляется его специалистами)
      2. Другие объекты размещены на других площадках и используется для взаимодействия как внутренняя инфраструктура, принадлежащая ЦОД, так и выделенные каналы, предоставляемые оператором сязи.

      Удалить
    4. а какая разница? для того, что бы стать субъектом КИИ владелец ЦОД должен обладать либо сетью электросвязи, либо ИС/ИТКС. Если в договоре с субъектами КИИ у него прописано оказание услуг связи, то он и так субъектом КИИ станет, как оператор связи. А если он просто предоставляет в пользование маршрутизатор/коммутатор в ЦОД и прочее, то с чего он субъект КИИ? Начинать надо не с того, кто обеспечивает. А с того кто организует взаимодействие объектов КИИ.

      Удалить
  5. 1. Госорганы и госучреждения не относятся к субъектам КИИ, обеспечивающим взаимодействие объектов КИИ.
    Как пример: есть ДИТ Москвы (орган исполнительной власти), он владеет сетевым оборудованием, на котором реализована инфраструктура, которая, в том числе, обеспечивает взаимодействие объектов КИИ, размещаемых в ЦОДах. ДИТ не будет субъектом КИИ, которому, принадлежат объекты, обеспечивающие взаимодействие?
    А еще есть ФГУП разные, на которых разные госы возлагают ответственность схожую.
    2. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей – это исключительно операторы связи.
    В целом все верно, лицами, у которых есть соответствующие лицензии на предоставление услуг связи. Но, наверное, во избежание путаницы не стоит это очерчивать теми же Вымпелкомами, Акадо, РТК и т.д. Те же ЦОД и лица, обеспечивающие инфраструктурные сервисы, также обычно имеют лицензию на услуги связи и могут сюда попасть
    4. Субъект КИИ, который обеспечивает взаимодействие указанных систем или сетей, руководствуется исключительно актами Минкомсвязь и ФСБ. К нему не относятся ПП127 и приказы ФСТЭК.
    Почему? Потому что в 127ПП вкралась очередная неточность? Объект КИИ есть - есть. Категорировать его надо – надо. Если объект будет критичным, то защищать также надо, в соответствии с требованиями ФСТЭК. Это все еще в 187-ФЗ самом есть. По категорированию. Сделан же вывод, что субъекты КИИ, которые обеспечивают взаимодействие – операторы связи. Отлично! В 13 сферах связь есть, деятельности по обеспечению взаимодействия сюда также войдет – процессы эти будут отнесены к критическим (так как нарушение взаимодействия объектов КИИ наверняка повлечет тот или иной из указанных ущербов) и далее берем соответствующий объект и категорируем спокойно по 127ПП вместе с остальными объектами из сферы связи.

    ОтветитьУдалить
    Ответы
    1. 1. Нет в 187-ФЗ определения "объект, обеспечивающий взаимодействие". Собственно эта проблема и вызвала появление заметки. Субъект есть, а что он защищать должен и по каким требованиям непонятно. Ответ на ваш вопрос - ни ОИВ, ни ФГУП, ни ГКУ и прочие ГБУ не будут являтся субъектами КИИ, если не владеют ИС/ИТКС/АСУ в 13 сферах. Вот просто автоматом, по формальному признаку.

      Удалить
    2. 2. В заметке нет никакой конкретизации, кроме факта наличия лицензии оператора связи. Но у оператора связи сеть электросвязи не объект КИИ.

      Удалить
    3. 4. Если объект КИИ есть, то его конечно надо категорировать. Только взаимодействие ОКИИ происходит с использованием сетей электросвязи,а не объектов КИИ. Нечего категорировать. Причем здесь ПП127? Если речь идет про формулировки и определения 187-ФЗ?

      Удалить
    4. У оператора связи есть объекты КИИ в сфере связи - это ИС/ИТКС/АСУ, с помощью которых он управляет сетью электросвязи. Но это его внутренние объекты, они никак не обеспечивают взаимодействие с чужими ОКИИ. С чужими ОКИИ имеет дело только сеть электросвязи оператора связи.

      Удалить
  6. Добавил в заметку ретроспективу. Очень забавно, как оператор ГИС превратился в оператора связи. И сравнение определений оператора связи в 126-ФЗ и субъекта КИИ в последних версиях, включая утвержденную, только подтверждает мою позицию.

    ОтветитьУдалить