Страницы

понедельник, 14 июня 2021 г.

КоАП для КИИ. Молчание - золото!

 


    При рассмотрении КоАП выделяется один состав правонарушения, за который установлен максимальный начальный штраф должностного лица - 20 000, в два раза больше всех остальных правонарушений. Таким образом, государство явно демонстрирует, что считает информирование иностранных центров кибербезопасности наиболее опасным правонарушением.

Часть 1

Часть 2


   Речь про ч.3 Статья 13.12.1. КоАП

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Начнем с российских реалий:Приказ №368 ФСБ позволяет субъекту КИИ самостоятельно определить способы передачи  и ее необходимость между субъектами КИИ - "Направление уведомлений и запросов осуществляется посредством почтовой, факсимильной, электронной или телефонной связи."Но, помните требование - "8. Одновременно с направлением информации о компьютерных инцидентах в рамках обмена субъекты критической информационной инфраструктуры информируют об этом НКЦКИ".Важно: приказ не разделяет ЗОКИИ и НОКИИ. У вас НОКИИ и есть 24 часа на информирование НКЦКИ, вы отправили информацию в НКЦКИ через 22 часа, но ранее, скажем через 3 часа, уведомили другого субъекта КИИ из состава вашего холдинга о компьютерном инциденте - нарушили приказ ФСБ №368 и вас могут оштрафовать.Замечу, что Приказ ФСБ №368 не регулирует обмен информации о компьютерном инциденте между субъектом КИИ и иными российскими организациями (не субъектами КИИ).
Теперь о самом не предсказуемом.Про обмен с иностранными организациями:

НКЦКИ разъясняет кто относится к таким организациям и в каких случаях передача информации о компьютерном инциденте не нарушает приказ ФСБ:

    Под иностранной (международной) организацией понимаются:

    1. уполномоченные органы иностранных государств, осуществляющие деятельность в области реагирования на компьютерные инциденты;
    2. иностранные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
    3. международные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
    4. международные неправительственные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты.

    С такими иностранными (международными) организациями субъекты КИИ должны взаимодействовать через НКЦКИ, за исключением случаев, когда прямой обмен между субъектом КИИ и такой организацией предусмотрен международным договором Российской Федерации.

    Под категорию «Обращение в иностранную (международную) организацию» не подпадают те уведомления со сведениями о компьютерных инцидентах, которые субъект КИИ направляет в какую-либо внешнюю управляющую структуру (вышестоящую иностранную организацию) в рамках ведения общей экономической и хозяйственной деятельности.

    Вопросы:
    1. Взаимодействие с техподдержкой иностранного производителя оборудования или программного обеспечения из состава объекта КИИ при ликвидации последствий компьютерной атаки наказуемо?
Я сейчас не беру полное определение компьютерного инцидента в 187-ФЗ, конкретизируем под компьютерную атаку. Общей экономической  и хозяйственной деятельности у субъекта с ними нет. Получается, что если иностранный производитель кроме основной деятельности имеет подразделение, оказывающее услуги по киберзащите, то только через НКЦКИ? А производители средств защиты информации однозначно под запретом?
   2. Если представитель субъекта КИИ на международной конференции по кибербезопасности приведет пример  реального компьютерного инцидента, то штраф? Надо ли направлять на согласование в НКЦКИ доклады российских представителей?
   3. Наказуема ли публикация на сайте субъекта КИИ информационного сообщения о компьютерном инциденте? Сеть то международного обмена информации. И не думайте что это слишком преувеличено, ФСТЭК уже пыталась оштрафовать за подобное ранее:

Постановление № 5-318/2017 от 23 августа 2017 г. по делу № 5-318/2017
Как указано в протоколе об административном правонарушении, вынесенном *** консультантом отдела Управления ФСТЭК России по Уральскому федеральному округу, *** Белкин Д.Ю. допустил размещение диссертации в сети «Интернет» на официальном сайте «Российского химико-технологического университета им Д.И. Менделеева» www.muctr.ru, содержащей информацию, в отношении которой установлен экспортный контроль, и подпадающей под действие Списка ядерных материалов оборудования, специальных неядерных материалов и соответствующих технологий, утвержденного Указом Президента Российской Федерации от 14.02.1996 № 202, без специального разрешения (лицензии) ФСТЭК России, чем нарушил положения ст. 30 Федерального закона от 18.07.1999 № 183-ФЗ «Об экспортном контроле».

  Тогда удалось отбиться в суде:

Однако доказательств того, что Белкиным Д.Ю. при размещении на сайте российского юридического лица в домене «ru» осуществлена внешэкономическая операция, в результате которой подлежащая экспортному контролю информация передана иностранному лицу, не представлено. 

Имеющийся в материалах дела в электронном виде перечень сетевых адресов, с которых осуществлен вход на сайт www.muctr.ru для ознакомления с диссертацией, не может являться доказательством осуществления Белкиным Д.Ю. внешэкономической деятельности, поскольку не содержит указаний о посещении сайта с диссертацией иностранными лицами.


  А если на сайте субъекта КИИ будет просмотр с IP иностранного CERT?

   Думаю что подобное развитие маловероятно, если уж только субъект КИИ не разместит очень подробный отчет о компьютерном инциденте на сайте. Если иолько материалы публикации на сайте субъекта КИИ не попадут в аналитический дайджест по кибербезопасности иностранной компании, а хуже всего -  если НКЦКИ получит бюллетень с иностранного СERT по такому инциденту.

   4. Приказ ФСБ позволяет обмен информацией о компьютерных инцидентах между субъектами КИИ по эл.почте. А если почта @gmail для примера? У нас ведь уже есть уголовный приговор по ст.274.1 УК РФ с формулировкой приговора "которая после отправки на личный почтовый ящик сохранилась в памяти облачного хранилища компании «Google» зарегистрированной в США.. причинило вред в виде угрозы нарушения целостности сети связи ПАО «Ростелеком», вследствие прекращения функционирования телекоммуникационного оборудования в результате разрушающих функционирование телекоммуникационного оборудования в результате разрушающих физических или информационных воздействий.".
   Напомню, что авторы КоАП прямо указывали обоснование штрафа для данного правонарушения - "При обмене информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации с нарушением соответствующего порядка возможно раскрытие технической информации ограниченного доступа о критической информационной инфраструктуре Российской Федерации, что может привести к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства". 


P.S.  В связи с вступлением в силу нового КоАП для субъектов КИИ, создал отдельный раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite


*** YouTube - канал блога


**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий