понедельник, 22 июля 2019 г.

Телерадиовещательные компании как субъекты КИИ. Продолжение.






      В продолжение заметки о телерадиокомпаниях (далее –ТРК) как субъектов КИИ. С кабельными и спутниковыми ТРК есть очень интересный нюанс с самоидентификацией в качестве субъектов КИИ. Этот нюанс – взимание платы с абонента за просмотр информационного контента.

      Приговор № 1-67/2018 от 22 октября 2018 г. по делу № 1-67/2018
Володащик О.Н., в силу занимаемой должности, имея доступ к компьютерной информации, достоверно знал о том, что потоки служебной информации «Триколор ТВ», необходимые для просмотра зашифрованных телевизионных спутниковых каналов этой компании, а также зашифрованные ключевые слова, передаваемые в виде электрических сигналов, являются компьютерной информацией, создаются в сети ЭВМ спутникового телевидения «Триколор ТВ» и предоставляются при регистрации абонентов в данной сети.
      Заключением эксперта от 19.12.2017, согласно выводам которого, совокупность технических средств цифрового телевизионного центра НАО «Национальная спутниковая компания» (Триколор ТВ), взаимодействующих в рамках процесса формирования цифрового телевизионного сигнала является системой и сетью ЭВМ, вся информация, содержащаяся в данной сети является компьютерной. Информация, передаваемая в транспортном потоке данных цифрового вещательного телевидения, является компьютерной. Служебная информация системы ограничения доступа, передаваемая в транспортном потоке данных цифрового вещательного телевидения, является компьютерной и предназначена для обеспечения доступа абонентов к программам вещательного телевидения. Спутниковый ресивер №, все 19 смарт-карт, ноутбук «MSI», модели: MS-6837D, программатор смарт-карт «<данные изъяты>» находятся в рабочем состоянии. Смарт-карта является электронно-вычислительной машиной. Все 19 смарт-карты соответствуют формату № определённому ГОСТ Р ИСО/МЭК 7810-2006 для карт идентификационных на интегральных схемах. Информация в памяти всех 19 смарт-карт является компьютерной.
     Володащика Олега Николаевича признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 272 и ч. 2 ст. 273 УК РФ, и назначить ему наказание.
      Вывод: кабельная сеть телевещания – это сеть электросвязи, которая не объект КИИ. Но в ее состав входит компьютерная сеть предоставления условного доступа, причем к ней относятся и смарт-карты. А такая сеть уже объект КИИ. Очень легко попадающая в категорию ЗОКИИ.
      И самое опасное для ТРК, что этого не избежать даже в случаях, когда сеть электросвязи чужая. 
DVCrypt.



    Все карточки программируется в два приема. Поставщик системы заносит в карточку базовую часть данных, необходимых для работы системы, и недоступных Оператору сети. Карточки программируются индивидуально для каждой ТВ сети, и если она каким - либо образом попадет в другую ТВ сеть, то в ней ее использование невозможно. Оператор ТВ Сети в свою очередь, должен записать в карточку назначенные им самим цифровые ключи и только после этого карточка может быть выдана абоненту. Запись ключей может быть осуществлена только полученным от поставщика системы программатором, изменить ключи в карточке, используя другой программатор, невозможно, даже при наличии соответствующей программы. В карточку записывается два ключа - действующий и резервный. Резервный цифровой ключ записан на тот случай, если возникнет необходимость заменить ключи, действующие в системе. На резервный ключ система переходит на период постепенной замены ключей. Естественно, не зная ключей, ни производитель, ни, тем более, другой оператор, не могут изготовить карточки для нелегального просмотра. Единственная возможность производства таких карточек имеется у собственного персонала, обслуживающего программатор, и то, используя только заказанные у поставщика карточки, количество которых известно.
     P.S. А дилерам платных телеканалов теперь грозит преследование по ч.3 Ст.274.1 УК РФ за программирование "левых" карт доступа. Доступ к служебной информации системы ограничения доступа у них присутствует легально.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

19 комментариев:

  1. Несомненно, телерадиовещательные организации выполняют важную роль в обществе, так как могут оказывать очень сильное информационно-психологическое взаимодействие на потребителей такой информации. И, конечно, мало владеть информацией, ей ещё надо управлять, и тогда можно будет управлять массовым сознанием, потребляющим такую информацию. Но, тем не менее, данные две Заметки мне представляются попытками натянуть сову на глобус. Сфера телерадиовещания не указывается в законе, что было публично подтверждено представителем ведомства, выступившего автором 187-ФЗ. Зачем тогда притягивать исполнение данного закона за уши? Зачем приплетать принадлежность к сферам связи или науки. Это выглядит ровно также, как и навешивание на водоканалы сферы здравоохранения. Опять же повторюсь, что считаю, что сфера телерадиовещания важна и должна была быть в 187-ФЗ, но раз ее там нет, то и суда нет.
    Ну и другой момент, что следуя букве закона не сама организация должна быть в одной из 13 сфер, а такой организации должна принадлежать хотя бы одна ИС/ИТС/АСУ из 13 сфер, если у организации есть лицензии, совпадающие с одной из 13 сфер из 187-ФЗ, это ещё не значит, что такая организация имеет ИС/ИТС/АСУ из этой же сферы.

    Ну и главный вопрос. В выводе указана, что некая компьютерная сеть является объектом КИИ, которая легко попадает в категорию ЗОКИИ. Как об этом можно так смело утверждать? Категорирование проводится комиссией, где роль ИБ-специалиста не так велика, так как основную оценку проводят специалисты из той обрасти, в которой функционирует объект КИИ, а тут единолично сделан такой вывод (поэтому, как мне кажется, даже самый супер пупер ИБ-специалист сходу не скажет, где ЗОКИИ, а где без категории); по какому показателю значимости такая компьютерная сеть может легко оказаться ЗОКИИ (социальная значимость мимо, сеть связи не подходит (Сеть связи – технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи (п. 24, ст. 2 Федерального закона от 07 июля 2003 г. No 126-ФЗ «О связи»)), политическая - мимо, экологическая - мимо, значимость для обороны и безопасности страны - аналогично, экономическая что ли?). 


    ОтветитьУдалить
  2. Я не утверждал, что телерадиовещание входит в сферу КИИ. Более того, в заметках приведёны варианты, когда трк не попадает под 187-фз.

    ОтветитьУдалить
  3. Если ТРК, при осуществления вещательной деятельности оказывает услуги связи, как лицензиат и оператор связи, то какие возражения против идентефикации его как субъекта кии в сфере связи?

    ОтветитьУдалить
  4. https://rkn.gov.ru/communication/license/ Перечень приложений к заявлению о предоставлении лицензии установлен пунктами 2, 3, 4 ст. 30 126‑ФЗ и п. 3 ст. 13 99-ФЗ. Приложения к заявлению следует оформлять в виде отдельных документов. Приложение к заявлению о предоставлении лицензии описания сети связи, средств связи, с использованием которых будут оказываться услуги связи, а также плана и экономического обоснования развития сети связи необходимо в следующих случаях:
    - если в процессе оказания услуг связи предполагается использование радиочастотного спектра, в том числе для целей телевизионного вещания и радиовещания;
    - при оказании услуг кабельного телевизионного вещания и проводного радиовещания; 9) копия выданной в установленном порядке лицензии на телевизионное вещание и (или) радиовещание (при оказании услуг связи для целей наземного эфирного вещания)*.10) копия документа, подтверждающего наличие правоотношений между соискателем лицензии и лицензиатом-вещателем (при отсутствии собственной лицензии на вещание)*.

    ОтветитьУдалить
  5. В случае отсутствия собственной лицензии на вещание соискателю лицензии кроме того необходимо указать реквизиты документа, подтверждающего наличие правоотношений между соискателем лицензии и лицензиатом-вещателем.

    При намерении соискателя лицензии на основании статьи 2 Федерального закона от 27 июля 2010 г. № 221-ФЗ “О внесении изменений в Федеральный закон “О связи” участвовать в осуществлении эфирной наземной трансляции обязательных общедоступных телеканалов и (или) радиоканалов совместно с определенным Президентом Российской Федерации оператором связи, осуществляющим эфирную наземную трансляцию общероссийских обязательных общедоступных телеканалов и (или) радиоканалов (в настоящее время – ФГУП “Российская телевизионная и радиовещательная сеть”), соискатель лицензии также должен указать в заявлении о предоставлении лицензии реквизиты документа, подтверждающего наличие правоотношений между соискателем лицензии и указанным оператором связи.

    ОтветитьУдалить
  6. Мне показалось, что в упоминаемых заметках Вы попытались телерадиовещательные компании подтянуть под субъектов КИИ по сферам связь и/или наука, так как сферы телерадиовещания нет в 187-ФЗ. Моя же позиция в этом вопросе такова, что я думаю, что надо работать с теми организациями, которые однозначно подпадают под формальное определение субъектов КИИ и не множить их число под разными предлогами, так как я полагаю, что это притягивание за уши, ввиду того, что мне кажется, что в общем случае ТРК не функционирует, а точнее не имеет ИС/ИТС из этих двух сфер. А наличие у организации лицензии на определённый вид деятельности не означает однозначной корреляции с тем, что у неё есть ИС/ИТС/АСУ, функционирующие в этих же сферах. Таким образом, чтобы однозначно сказать, что ТРК является субъектом КИИ необходим подтвердить наличие у них в собственности ИС/ИТС из определённых в 187-ФЗ сфер. А для этого надо, как мне кажется, спросить у самих ТРК. Ну и записывать, повторюсь, компьютерные сети ТРК в однозначные ЗОКИИ без проведения анализа, как мне кажется, неправильно.

    Кстати, из цитат НПА вытекает следующий вопрос: а владеет ИС/ИТС из сферы связи и услуги связи кто оказывает то: ТРК или ФГУП «Российская телевизионная и радиовещательная сеть»?

    ОтветитьУдалить
  7. Под законные акты по телевещания говорят прямо, если хотите вещать-получите лицензию. Лицензионнию на вещание можно получить в двух случаях:вещатель сам оператор связи и вещатель заключил договор с оператором связи. Цитаты я привёл выше.

    ОтветитьУдалить
  8. Из содержания ст. 44, 45 Федерального закона от 07.07.2003 N 126-ФЗ "О связи", п. 12, 24 Правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания, утв. Постановлением Правительства РФ от 22.12.2006 N 785 (далее - Правила оказания услуг связи) следует, что услуги связи для целей телевизионного вещания оказываются пользователям на основании заключаемого с оператором договора об оказании услуг связи.
    Под "предоставлением абоненту доступа к сети связи телерадиовещания" понимается совокупность действий оператора связи, оказывающего услуги связи для целей телерадиовещания, по формированию абонентской линии и подключению с ее помощью пользовательского (оконечного) оборудования к средствам связи сети связи телерадиовещания (п. 2 Правил оказания услуг связи). Определение Ленинградского областного суда от 21.03.2013 N 33-1198/2013

    ОтветитьУдалить
  9. Посмотрите условия для получения лицензии связи для телевещания в части наличия материального обеспечения.

    ОтветитьУдалить
  10. Я же говорю, что наличие лицензии не означает наличие в собственности сети связи или другой ИС/ИТС из сферы связи. ТРК осуществляет эфирную трансляцию, а сети связи им предоставляет ФГУП «Российская телевизионная и радиовещательная сеть», которая, как мне кажется, и будет субъектом КИИ, так как имеет ИС/ИТС, функционирующую в сфере связи. Вы сами привели цитату, где этот ФГУП определён оператором связи для ТРК, который и оказывает услуги связи для целей телерадиовещания.

    ОтветитьУдалить
  11. Тогда у такой трк нет лицензии на услуги связи в целях телевещания.

    ОтветитьУдалить
  12. При выдачи лицензии связи указывается дата начала оказания услуг. К этому моменту оператор обязан ввести в эксплуатацию сеть электросвязи. Приёма в эксплуатацию сети кабельного тв проводится с участием ркн в комиссии, если абонентов больше 2500

    ОтветитьУдалить
  13. Смотрите как много нюансов, которые не позволяют все ТРК грести под одну гребёнку.
    ТРК может осуществлять свою деятельность и при этом не являться лицензиатом-вещателем, как вы сами и указали выше. ТРК может быть в договорных отношениях с упомянутым ФГУП.
    Весь это опус мне напоминает ту заметку, где водоканалы тоже должны были оказаться субъектами КИИ. Слава богу это была такая животрепещущая тема, что, по моему, на ТБ-форуме Лютиков пояснил, что сама по себе деятельность водоканалов не попадает под действие 187-ФЗ, но если они будут заниматься ещё какой-то деятельностью из 187-ФЗ, то милости просим. Так и здесь. Мне кажется, что при решении вопроса об отнесении ТРК к числу субъектов КИИ необходимо учитывать множество нюансов и не рубить с плеча и с горяча, а равно не утверждать, что их компьютерные сети - ЗОКИИ. Необходимо разбираться в деталях, так как дьявол кроется именно в них. Зачем сеять лишнюю панику? ТРК может быть субъектом? Может. И я с этим согласен, но не всегда и не во всех случаях.

    ОтветитьУдалить
  14. И в 187-фз указана сфера связи, смотрим подборку нормативки в сфере связи уполномоченного органа и удивляемся обилию упоминания телевещания. Поэтому однозначно утверждать, что телевещания не относится к сфере связи, я бы не советовал. Есть важные нюансы. О них я пишу в своих заметках. https://77.rkn.gov.ru/law/p1815/

    ОтветитьУдалить
  15. Речь в заметке про конкретную компьютерную систему ограничения доступа к контенту телевещания. В ней формируется служебная информация, используемая при формировании телевизионного сигнала. Вы готовы взять на себя ответственность, что информационная система, формирующая телевизионный сигнал НЕ ФУНКЦИОНИРУЕТ в сфере связи?

    ОтветитьУдалить
  16. Вы говорите о постановлении Правительства РФ от 22.12.2006 г. № 785 "Об утверждении Правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания", постановлении Правительства РФ от 13.12.2006 г. № 760 "Об утверждении Правил присоединения и взаимодействия сетей связи для распространения программ телевизионного вещания и радиовещания" и постановлении Правительства РФ от 06.06.2005 г. № 353 "Об утверждении Правил оказания услуг связи проводного радиовещания" (т.е. о трёх из 34)?

    Берём 785 постановление и смотрим на кого оно распространяется: «Настоящие Правила регулируют отношения между абонентом или вещателем и оператором связи, оказывающим услуги связи для целей кабельного и (или) эфирного телевизионного вещания и (или) радиовещания (далее - телерадиовещание), в случае заключения возмездного договора об оказании услуг связи для целей кабельного и (или) эфирного телерадиовещания (далее - услуга связи для целей телерадиовещания).»
    Т.е. у нас есть сущность «оператор связи, оказывающий услуги связи для целей ТРК», разумеется, это несомненно субъект КИИ, но является ли он ТРК?
    Смотрим 760 постановление: «"вещатель" - пользователь услугами связи для целей телерадиовещания, который составляет телепрограммы и (или) радиопрограммы для их приема неопределенным кругом лиц и на основании лицензии на вещание распространяет их либо обеспечивает их распространение в полной и неизменной форме третьим лицом;». Т.е. у нас есть некая сущность вещатель, которая пользуется услугами связи (подчёркиваю, сама эта сущность приобретает услуги, но не предоставляет их). Причём эта сущность составляет программы, уж не о ТРК ли идёт речь? И да, для того, чтобы быть вещателем должна быть лицензия.

    Итого, если я правильно понял, мы получаем три сущности: абонент, вещатель и оператор связи, оказывающим услуги связи для целей кабельного и (или) эфирного телевизионного вещания и (или) радиовещания. Последний из них, уверен, неизбежно есть субъект КИИ, а вот вещатель, вероятно, нет. Предположу, вещатель это и есть ТРК. Если вещатель и этот оператор связи - одна и та же организация, то она тоже будет субъектом КИИ.

    Вы хотите, чтобы я взял ответственность за отнесение тех или иных систем к тем или иным сферам, хотя у нас, во-первых, никто так и не взял на себя ответственность за толкование 187-ФЗ, во-вторых, нет определений того, что к каким сферам относится (я говорю о том, как определять, какая ИС/ИТС/АСУ в какой сфере функционирует), кроме, однако, сферы здравоохранения (кстати, именно из-за этого пробела и возникают мнения, что передача воды по трубам это сфера транспорта, так как вода транспортируется из точки А в точку Б).

    А Вы готовы взять на себя ответственность, чтобы однозначно сказать, что компьютерная система ограничения доступа к контенту телевещания это ЗОКИИ (по какому показателю она «выстрелит»?). Ведь о ней Вы говорили, как о легком отнесении к ЗОКИИ?

    ОтветитьУдалить
  17. Я говорю о том, что есть орган, уполномоченный в сфере связи, у него на официальном сайте опубликован перечень нпа в сфере связи. Эти НПА регулируют в том числе и телевещание. Все остальное уже рассмотрено в заметке, в том числе и разные сущности в телевещании.

    ОтветитьУдалить
  18. Персональное мнение.
    В условиях лицензирования деятельности ТРК есть условие оповещения народонаселения о катаклизмах и прочем.
    (Постановление Правительства РФ от 18.02.2005 N 87 (ред. от 19.09.2018) "Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий", XVIII. Перечень лицензионных условий осуществления
    деятельности в области оказания услуг связи
    для целей эфирного вещания, подпункт в 4-го пункта) - в) передачи сигналов оповещения и экстренной информации об опасностях, возникающих при угрозе возникновения или возникновении чрезвычайных ситуаций природного и техногенного характера, а также при ведении военных действий или вследствие этих действий, о правилах поведения населения и необходимости проведения мероприятий по защите.)
    То есть в день "Ч" любая коммерческая радиостанция\телеканал обязана предоставить эфир и инфраструктуру государству.
    Соответственно, быть в готовности к этому дню "Ч", то есть КИИ в полный рост.
    Как-то так...

    ОтветитьУдалить
    Ответы
    1. Проблема в том, что если у ТРК нет своей радиосети, то она ничего и не передаст при ЧС. Сигналы оповещения будет не ТРК транслировать, а оператор связи, который по договору услуги связи для ТРК оказывает. А, если ТРК имеет собственную радиосеть, то она и так оператор связи и субъект КИИ, даже без ЧС.

      Удалить