При рассмотрении КоАП выделяется один состав правонарушения, за который установлен максимальный начальный штраф должностного лица - 20 000, в два раза больше всех остальных правонарушений. Таким образом, государство явно демонстрирует, что считает информирование иностранных центров кибербезопасности наиболее опасным правонарушением.
Часть 1
Часть 2
Речь про ч.3 Статья 13.12.1. КоАП
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Начнем с российских реалий:Приказ №368 ФСБ позволяет субъекту КИИ самостоятельно определить способы передачи и ее необходимость между субъектами КИИ - "Направление уведомлений и запросов осуществляется посредством почтовой, факсимильной, электронной или телефонной связи."Но, помните требование - "8. Одновременно с направлением информации о компьютерных инцидентах в рамках обмена субъекты критической информационной инфраструктуры информируют об этом НКЦКИ".Важно: приказ не разделяет ЗОКИИ и НОКИИ. У вас НОКИИ и есть 24 часа на информирование НКЦКИ, вы отправили информацию в НКЦКИ через 22 часа, но ранее, скажем через 3 часа, уведомили другого субъекта КИИ из состава вашего холдинга о компьютерном инциденте - нарушили приказ ФСБ №368 и вас могут оштрафовать.Замечу, что Приказ ФСБ №368 не регулирует обмен информации о компьютерном инциденте между субъектом КИИ и иными российскими организациями (не субъектами КИИ).
Теперь о самом не предсказуемом.Про обмен с иностранными организациями:
НКЦКИ разъясняет кто относится к таким организациям и в каких случаях передача информации о компьютерном инциденте не нарушает приказ ФСБ:
Под иностранной (международной) организацией понимаются:- уполномоченные органы иностранных государств, осуществляющие деятельность в области реагирования на компьютерные инциденты;
- иностранные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
- международные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
- международные неправительственные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты.
С такими иностранными (международными) организациями субъекты КИИ должны взаимодействовать через НКЦКИ, за исключением случаев, когда прямой обмен между субъектом КИИ и такой организацией предусмотрен международным договором Российской Федерации.Под категорию «Обращение в иностранную (международную) организацию» не подпадают те уведомления со сведениями о компьютерных инцидентах, которые субъект КИИ направляет в какую-либо внешнюю управляющую структуру (вышестоящую иностранную организацию) в рамках ведения общей экономической и хозяйственной деятельности.
Вопросы:
1. Взаимодействие с техподдержкой иностранного производителя оборудования или программного обеспечения из состава объекта КИИ при ликвидации последствий компьютерной атаки наказуемо?
Я сейчас не беру полное определение компьютерного инцидента в 187-ФЗ, конкретизируем под компьютерную атаку. Общей экономической и хозяйственной деятельности у субъекта с ними нет. Получается, что если иностранный производитель кроме основной деятельности имеет подразделение, оказывающее услуги по киберзащите, то только через НКЦКИ? А производители средств защиты информации однозначно под запретом?
2. Если представитель субъекта КИИ на международной конференции по кибербезопасности приведет пример реального компьютерного инцидента, то штраф? Надо ли направлять на согласование в НКЦКИ доклады российских представителей?
3. Наказуема ли публикация на сайте субъекта КИИ информационного сообщения о компьютерном инциденте? Сеть то международного обмена информации. И не думайте что это слишком преувеличено, ФСТЭК уже пыталась оштрафовать за подобное ранее:
Постановление № 5-318/2017 от 23 августа 2017 г. по
делу № 5-318/2017
Как указано в протоколе об административном
правонарушении, вынесенном *** консультантом отдела Управления ФСТЭК России по Уральскому федеральному округу, *** Белкин
Д.Ю. допустил размещение диссертации в сети «Интернет» на официальном сайте
«Российского химико-технологического университета им Д.И. Менделеева»
www.muctr.ru, содержащей информацию, в отношении которой установлен экспортный
контроль, и подпадающей под действие Списка ядерных материалов оборудования,
специальных неядерных материалов и соответствующих технологий, утвержденного
Указом Президента Российской Федерации от 14.02.1996 № 202, без специального
разрешения (лицензии) ФСТЭК России, чем нарушил положения ст. 30 Федерального закона от 18.07.1999 № 183-ФЗ «Об
экспортном контроле».
Тогда удалось отбиться в суде:
Однако доказательств того, что Белкиным Д.Ю. при
размещении на сайте российского юридического лица в домене «ru» осуществлена
внешэкономическая операция, в результате которой подлежащая экспортному
контролю информация передана иностранному лицу, не представлено.
Имеющийся в материалах дела в электронном виде
перечень сетевых адресов, с которых осуществлен вход на сайт www.muctr.ru для
ознакомления с диссертацией, не может являться доказательством осуществления
Белкиным Д.Ю. внешэкономической деятельности, поскольку не содержит указаний о
посещении сайта с диссертацией иностранными лицами.
А если на сайте субъекта КИИ будет просмотр с IP иностранного CERT?
Думаю что подобное развитие маловероятно, если уж только субъект КИИ не разместит очень подробный отчет о компьютерном инциденте на сайте. Если иолько материалы публикации на сайте субъекта КИИ не попадут в аналитический дайджест по кибербезопасности иностранной компании, а хуже всего - если НКЦКИ получит бюллетень с иностранного СERT по такому инциденту.
4. Приказ ФСБ позволяет обмен информацией о компьютерных инцидентах между субъектами КИИ по эл.почте. А если почта @gmail для примера? У нас ведь уже есть уголовный приговор по ст.274.1 УК РФ с формулировкой приговора "которая после отправки на личный почтовый ящик сохранилась в памяти облачного хранилища компании «Google» зарегистрированной в США.. причинило вред в виде угрозы нарушения целостности сети связи ПАО «Ростелеком», вследствие прекращения функционирования телекоммуникационного оборудования в результате разрушающих функционирование телекоммуникационного оборудования в результате разрушающих физических или информационных воздействий.". Напомню, что авторы КоАП прямо указывали обоснование штрафа для данного правонарушения - "При обмене информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации с нарушением соответствующего порядка возможно раскрытие технической информации ограниченного доступа о критической информационной инфраструктуре Российской Федерации, что может привести к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства".
Комментариев нет:
Отправить комментарий