В последнее время активизировалась публичная дискуссия по трактовке 187-ФЗ, в части толкования терминов "объект КИИ" и "субъект КИИ". Побочно идет обсуждение и процесса категорирования ОКИИ, вопрос по привязке к критическим процессам. Споры о наполнении перечня объектов, подлежащих категорированию. Каждая сторона приводит аргументы, опираясь на нормативку. Кто же прав в этой ситуации?
Самое печально, но правы все участники дискуссии. И это очень плохо.
Стороны можно разделить на 4 большие группы:
а) Объекты КИИ – это все без исключения ИС/АСУ/ИТКС субъекта КИИ (вне зависимости от сфер их функционирования).
б) Объекты КИИ – это исключительно ИС/АСУ/ИТКС, функционирующие в 13 сферах КИИ
в) Объекты КИИ – это ИС/АСУ/ИТКС, обеспечивающие выполнение исключительно критических процессов в 13 сферах КИИ.
г) Различные вариации из первых трех пунктов.
О чем говорит сам факт подобных споров через ДВА года после принятия 187-ФЗ?
1. Полностью провалена информационно-разъяснительная работа регуляторов. Всю тяжесть разъяснений несут эксперты-общественники, в основном на уровне блогов. Метреки, согласованные с регуляторами ясности не вносят.
2. Низкое качество законотворческой деятельности по обеспечению безопасности КИИ.
Осознание ситуации и проблем способствует принятию решений о необходимости изменения 187-ФЗ и подзаконных актов. (Ну и 193-ФЗ, 194-ФЗ). И такая работа ведется.
Причину возникновения юридической неоднозначности законодательства по КИИ необходимо искать через цели и задачи авторов документов. То есть, посмотреть на ситуацию шире,а не заниматься бессмысленным буквоедством.
Не секрет, что авторами 187-ФЗ были сотрудники 8 Центра ФСБ, а авторами ПП127 - сотрудники ФСТЭК.
Какие цели у 8 центра ФСБ и ФСБ (это не опечатка, они различаются)?
8 центр ФСБ
1. Легализация ГосСОПКА в законодательстве, создание НКЦКИ и Головного центра ГосСОПКА.
2. Максимальный охват инфраструктуры страны средствами мониторинга компьютерных атак.
3. Наличие "точек входа" в каждой организации для реализации информации о КА.
ФСБ
4. Неотвратимость наказания хакеров. ("утяжеление" УК РФ, упрощение квалификации преступления)
5. Искоренение "раздолбайства" в эксплуатации информационной инфраструктуры.
Какие цели ФСТЭК?
6. Безопасность ЗОКИИ.
То есть, для ФСБ важна максимально широкая трактовка терминов "ОКИИ" и "Субъект КИИ". С точки зрения эффективности ГосСОПКА, это единственно верный путь. Чем больше объектов охвачено системой, тем эффективнее разведка и профилактика КА. Чем больше субъектов КИИ, тем выше оперативность реагирования на информацию о КА. Идеал - вся страна охвачена системой, никаких исключений. Но это очень дорого. Это привело к появлению в 187-ФЗ незначимых ОКИИ. По ним в законе нет даже обязанности обеспечивать их безопасность, но есть обязанность взаимодействовать с ГосСОПКА. Дешево и сердито.
Это же привело к частичной легализации ГосСОПКА. Фактически есть законная ГосСОПКА КИИ и общая нелегальная ГосСОПКА. Более того, именно задача по легализации ГосСОПКА привела к появлению отдельного закона, а не внесению изменений в 149 - ФЗ (аналогично внсеению раздела ГИС). Исторически, ФСТЭК пытался КСИИ именно через 149-ФЗ легализовать. И это же привело к появлению отдельной статьи в УК РФ, а не введение отдельных частей в существующие + изменение УПК и подследственности.
Так как ФСБ не отвечает по закону за обеспечение безопасности КИИ РФ, то им безразличен процесс категорирования. 8 центр ФСБ получит свою информацию в любом случае, а ФСБ для уголовного преследования вообще не важны действия субъектов по выполнению 187-ФЗ.
Зато он интересен ФСТЭК. Для них важны исключительно ЗНАЧИМЫЕ объекты КИИ. Только на ЗОКИИ распространяются требования по обеспечению безопасности. Только по ним у ФСТЭК функции госконтроля. Это причина появления "критических процессов" в ПП127. Только ОКИИ, обеспечивающие критические процессы могут попасть в ЗОКИИ. А другие ФСТЭК просто не интересны, но они интересны ФСБ.
Заметьте, что нет реестра субъектов КИИ, а есть только реестр ЗОКИИ.
И вот комбинация таких ведомственных подходов + несовершенство исполнения, помноженная на спешку (законы принимались очень быстро) и привела к стольким вариантам трактовок законодательства при его исполнении.
И что теперь делать субъекту КИИ?
1. Определится с подходом к трактовке (а,б,в,г)
2. В рамках логики варианта подхода реализовывать требования законодательства.
3. Фиксируйте все действия по выполнению 187-ФЗ в рамках своего подхода, будьте готовы аргументированно отстаивать свою позицию при проверках прокуратуры и регуляторов.
Все перечисленные подходы законны, вот ничего не делать - незаконно. Но пока не наказуемо, до введения нового КоАП.
На уголовную ответственность они вообще не влияют, ФСБ сама все решит при необходимости.
Не ждите когда споры сторон закончатся, для этого требуется изменение законодательства.
Я придерживаюсь позиции "б", методика выполнения 187-ФЗ при таком подходе здесь:
https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost/view/226310220/
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
По законам логики все правыми быть не могут! А вот неправыми - могут. :)) Тот, кто правильно приводит в качестве аргумента выдержки из неправильного документа, неправ!
ОтветитьУдалитьВы правы.
ОтветитьУдалитьЭтот пост полностью отражает сложившуюся ситуацию. Действительно, 187-ФЗ воспринимается документом, узаконившим ГосСОПКА, а вокруг неё уже наспех налепили субъектов и объектов КИИ, чтобы придать объем документу.
ОтветитьУдалитьP.S.: придерживаюсь позиции "а", но с уточнением, что в Перечень ОКИИ, подлежащих категорированию, включаются не все ОКИИ.
Руководствуясь подходом: "Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими", логично придерживаться пункта "в"
ОтветитьУдалитьМне кажется, что если бы 187-ФЗ писался бы ФСТЭК, то так бы оно и было.
УдалитьПосмотрите первую версию проекта 187-фз от 2016 года. Зря погубили идею с КСИИ КВО.
УдалитьКак бы не пришлось 2 перечня вести
ОтветитьУдалитьСомневаюсь, что хоть один будут вести. Сейчас утвердили, отправили в фстэк и забили на год. Это управленческий косяк в пп127, нет никакого смысла в 12 месяцах категорирования.
УдалитьКак это нет смысла в 12 месяцах, а попытаться внедрить систему безопасности на основании категорирования, но перед отчетом во ФСТЭК о результатах категорирования?
ОтветитьУдалитьИ что вы с ней будете делать, если ФСТЭК не согласует принятое решение о категории?
УдалитьНо смысл то есть :)
ОтветитьУдалитьДля некоторых объектов... а сомнительные подождут.