Неоднозначность законодательства по КИИ. Расширяем горизонты или "ребята, давайте жить дружно".

    В последнее время активизировалась публичная дискуссия по трактовке 187-ФЗ, в части толкования терминов "объект КИИ" и "субъект КИИ". Побочно идет обсуждение и процесса категорирования ОКИИ, вопрос по привязке к критическим процессам. Споры о наполнении перечня объектов, подлежащих категорированию.  Каждая сторона приводит аргументы,  опираясь на нормативку. Кто же прав в этой ситуации?


      Самое печально, но правы все участники дискуссии. И это очень плохо.

Стороны можно разделить на 4 большие группы:

а)       Объекты КИИ – это все без исключения ИС/АСУ/ИТКС субъекта КИИ (вне зависимости от сфер их функционирования).

б)       Объекты КИИ – это исключительно ИС/АСУ/ИТКС, функционирующие в 13 сферах КИИ

в)       Объекты КИИ – это ИС/АСУ/ИТКС, обеспечивающие выполнение исключительно  критических процессов в 13 сферах КИИ.

г)       Различные вариации из первых трех пунктов.

    О чем говорит сам факт подобных споров через ДВА года после принятия 187-ФЗ?

1.       Полностью провалена информационно-разъяснительная работа регуляторов. Всю тяжесть разъяснений несут эксперты-общественники, в основном на уровне блогов. Метреки, согласованные с регуляторами ясности не вносят.

2.       Низкое качество законотворческой деятельности по обеспечению безопасности КИИ.

   Осознание ситуации и проблем способствует принятию решений о необходимости изменения 187-ФЗ и подзаконных актов. (Ну и 193-ФЗ, 194-ФЗ). И такая работа ведется.
     Причину возникновения юридической неоднозначности законодательства по КИИ необходимо искать через цели и задачи авторов документов. То есть, посмотреть на ситуацию шире,а не заниматься бессмысленным буквоедством.

      Не секрет, что авторами 187-ФЗ были сотрудники 8 Центра ФСБ, а авторами ПП127 - сотрудники ФСТЭК. 
      Какие цели у 8 центра ФСБ и ФСБ (это не опечатка, они различаются)?
8 центр ФСБ
1. Легализация ГосСОПКА в законодательстве, создание НКЦКИ и Головного центра ГосСОПКА.
2. Максимальный охват инфраструктуры страны средствами мониторинга компьютерных атак.
3. Наличие "точек входа" в каждой организации для реализации информации о КА.
ФСБ
4.  Неотвратимость наказания хакеров. ("утяжеление" УК РФ, упрощение квалификации преступления)
5. Искоренение "раздолбайства" в эксплуатации информационной инфраструктуры.
    Какие цели ФСТЭК?
6. Безопасность ЗОКИИ.
      
   То есть, для ФСБ важна максимально широкая трактовка терминов "ОКИИ" и "Субъект КИИ". С точки зрения эффективности ГосСОПКА, это единственно верный путь. Чем больше объектов охвачено системой, тем эффективнее разведка и профилактика КА. Чем больше субъектов КИИ, тем выше оперативность реагирования на информацию о КА. Идеал - вся страна охвачена системой, никаких исключений. Но это очень дорого. Это привело к появлению в 187-ФЗ незначимых ОКИИ. По ним в законе нет даже обязанности обеспечивать их безопасность, но есть обязанность взаимодействовать с ГосСОПКА. Дешево и сердито.
    Это же привело к частичной легализации ГосСОПКА. Фактически есть законная ГосСОПКА КИИ и общая нелегальная ГосСОПКА. Более того, именно задача по легализации ГосСОПКА привела к появлению отдельного закона, а не внесению изменений в 149 - ФЗ (аналогично внсеению раздела ГИС). Исторически, ФСТЭК пытался КСИИ именно через 149-ФЗ легализовать.  И это же привело к появлению отдельной статьи в УК РФ, а не введение отдельных частей в существующие + изменение УПК и подследственности.
     Так как ФСБ не отвечает по закону за обеспечение безопасности КИИ РФ, то им безразличен процесс категорирования. 8 центр ФСБ получит свою информацию в любом случае, а ФСБ для уголовного преследования вообще не важны действия субъектов по выполнению 187-ФЗ.
      Зато он интересен ФСТЭК. Для них важны исключительно ЗНАЧИМЫЕ объекты КИИ. Только на ЗОКИИ распространяются требования по обеспечению безопасности. Только по ним у ФСТЭК функции госконтроля. Это причина появления "критических процессов" в ПП127. Только ОКИИ, обеспечивающие критические процессы могут попасть в ЗОКИИ. А другие ФСТЭК просто не интересны, но они интересны ФСБ.
      Заметьте, что нет реестра субъектов КИИ, а есть только реестр ЗОКИИ.
      И вот комбинация таких ведомственных подходов + несовершенство исполнения, помноженная на спешку (законы принимались очень быстро) и привела к стольким вариантам трактовок законодательства при его исполнении.
      

     И что теперь делать субъекту КИИ?
   
  1. Определится с подходом к трактовке (а,б,в,г)
  2. В рамках логики варианта подхода  реализовывать требования законодательства.
  3. Фиксируйте все действия по выполнению 187-ФЗ в рамках своего подхода, будьте готовы аргументированно отстаивать свою позицию при проверках прокуратуры и регуляторов.
    Все перечисленные подходы законны, вот ничего не делать - незаконно. Но пока не наказуемо, до введения нового КоАП.
   На уголовную ответственность они вообще не влияют, ФСБ сама все решит при необходимости.
   Не ждите когда споры сторон закончатся, для этого требуется изменение законодательства.
   
   Я придерживаюсь позиции "б", методика выполнения 187-ФЗ при таком подходе здесь:
https://www.mos.ru/dit/documents/informatcionnaia-bezopasnost/view/226310220/


P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога