ЧаВо по КИИ


Цикл заметок на Яндекс.Дзен "Клуб любителей КИИ":
1.  Самоидентификация субъекта КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579a
2.  Подборка методических рекомендаций по КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
3. Оформляем решение, что организация не субъект КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae880191
4. Составляем Перечень объектов КИИ, подлежащих категорированию  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-sostavliaem-perechen-obektov-podlejascih-kategorirovaniiu-5e289c87df944400bd8ad506
5. Отвечаем на прокурорский запрос
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-prokurorskii-zapros-5e2c14c1ba281e00ae0d0f85
6. Готовим документы в прокуратуру -
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-podtverjdaiuscie-dokumenty-na-zapros-prokuratury-5e2c394f1febd400b021c638
7. Выполняем представление прокуратуры об устранении нарушения 187-ФЗ
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-itog-prokurorskoi-proverki-v-raionnoi-bolnice-5e347225e0d0b71a458b65ac
8. Выполняем представление прокурора за отсутствие системы безопасности ЗОКИИ
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-poluchili-predstavlenie-prokurora-5e38700153de5721ccf795b6
9. Информируем НКЦКИ об компьютерных инцидентах
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-informiruem-nkcki-5e41a31a5de562789d7f3be5
10. Гостайна и субъект КИИ
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-gostaina-v-kii-vopros-sereznyi-5e4ed83a69980506e8447f03
11. Информируем ФСТЭК об изменениях в составе ОКИИ
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/aktutalizaciia-svedenii-o-zokii-5e806711862a504fb17acdde
12. Изменение требований ФСТЭК к оформлению Перечня ОКИИ в электронном виде
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/importozamescenie-pri-otpravke-perechnia-okii-5ea56f5e6c197b5e73e5390d
13. Шаблон приказа о назначении ответственного по информированию НКЦКИ
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/shablony-prikazov-po-reagirovaniiu-na-kompiuternye-incidenty-chast-1-5ec6ce7a4e581f13f4e519e8
14. Алгоритм перевода ЗОКИИ в незначимые ОКИИ.
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/perevod-zokii-v-neznachimye-okii-5ed6c103589ce712947de767
15. Оформляем работу комиссии по категорированию при переводе субъекта КИИ на удаленный режим работы
16. Оператор ИС и организация с правом оперативного управления. Ко будет субъект КИИ?
https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/iptelefoniia-601ac40b27294500e43e913b
18. Практика применения ст.274.1 УК РФ 
19. Когда начнут штрафовать субъектов КИИ?





20. Назначаем специалиста безопасности ЗОКИИ
21. Оформляем изменения в Перечне ОКИИ, подлежащих категорированию
22. Вносим изменения в Реестр ЗОКИИ
23. Перевод не значимого ОКИИ в ЗОКИИ
24. Исключение ИС/АСУ/ИТКС из объектов КИИ
25. Судебная практика по ст. 274.1 УК РФ. Итоги за три года.
26. Что грозит за попытку самодеятельности с проверкой защищенности ОКИИ (пентест)?
27. Реагирование на КИ, случившихся на аппаратах МРТ, КТ и других медицинских приборах
28. Типовой ежегодный план по защите ЗОКИИ 
29. Типовой план по защите незначимого ОКИИ на 2021 год.
30. Реагируем на компьютерные инциденты с ЗОКИИ. Введение
31. Реагируем на компьютерные инциденты с ЗОКИИ. Часть 1.
32Относить ли сайты субъектов к объектам КИИ или нет? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/otnosit-li-saity-subektov-k-obektam-kii-ili-net-otvet-v-etom-voprose-61b49328d19c976d2bc6b090
33. Опыт МИАЦ свердловской области по категорированию ОКИИ в сфере здравоохранения https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-kategorirovanie-v-zdravoohranenii-sverdlovskii-opyt-61d6d97535163e7c5c61b1ca
36. Алгоритм категорирования вновь создаваемых ОКИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-kategorirovanie-vnov-sozdavaemogo-okii-61f02d42c41680325267853a

38. Вспомогательные системы (СКУД, сигнализация) как объект КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/vspomogatelnye-sistemy-subekta-kii-622a56f214970158fa98afb8

39. Отраслевые регуляторы сфер КИИ
40. Расчет численности отдела безопасности ЗОКИИ в медучреждении
41. МИАЦ в сфере здравоохранения. Приказ Минздрава.
42. Иностранным агентам запрещено эксплуатировать и обеспечивать безопасность ЗОКИИ 
43. Сколько субъектов КИИ в стране?

Вопрос 1. Какие органы государственной власти интересуются субъектами КИИ?

Ответ:  https://valerykomarov.blogspot.com/2018/05/blog-post_22.html

Вопрос 2. Какие требования к поставщикам оборудования для субъекта КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/04/blog-post_26.html

Вопрос 3. Какой орган государственной власти имеет право указать организации, что она является субъектом КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
            https://valerykomarov.blogspot.com/2018/07/blog-post_30.html

Вопрос 4. Какие особенности привлечения к уголовной ответственности  субъекта КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/04/blog-post_19.html
https://valerykomarov.blogspot.com/2018/11/blog-post.html

Вопрос 5. Какие проблемы может вызвать у субъекта КИИ исполнение 239 Приказа ФСТЭК?

Ответ: https://valerykomarov.blogspot.com/2018/03/239_30.html

Вопрос 6. С кем согласовать субъекту КИИ свой Перечень объектов?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_23.html

Вопрос 7. Как субъекту КИИ информировать ФСБ о компьютерных инцидентах?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_22.html
            https://valerykomarov.blogspot.com/2018/08/blog-post_22.html

Вопрос 8. Какие подзаконные акты выпущены для выполнения 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/03/187.html

Вопрос 9. Какая последовательность действий субъекта КИИ по выполнению 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_81.html

 «Методика проведения категорирования объектов критической информационной инфраструктуры (КИИ) в соответствии с требованиями Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» https://step.ru/news/?code=2046
  «Подробный план по выполнению требований закона № 187-ФЗ» https://www.ptsecurity.com/ru-ru/premium/plan-187-fz/?utm_source=product_page
   Согласованные с ФСБ России и ФСТЭК России "Методические рекомендации по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи" http://www.rans.ru/activity/news/316-2-jl-2019-goda
    Полная подборка методических документов https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

Вопрос 10. Кому необходимо исполнять требования 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/03/187-01012018.htmlhttps://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-samoidentifikaciia-subekta-kii-5e1cc391118d7f00adfc579a

Вопрос 11. Облачный провайдер это субъект КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_71.html

Вопрос 12. Зачем в ПП 127 указаны "критические процессы"?

Ответ: https://valerykomarov.blogspot.com/2018/03/127.html

Вопрос 13. Позиция ФСТЭК по обязательности аттестации ГИС как значимых объектов КИИ (ТБ-форум 2018)?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_10.html

Вопрос 14. Какой минимальный уровень знаний должен быть у специалиста по ИБ субъекта КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_86.html

Вопрос 15. Что ФСТЭК ответила на вопросы по КИИ на ТБ-форуме?

Ответ: https://valerykomarov.blogspot.com/2018/03/blog-post_11.html

 Вопрос 16. Что нам сделать, что бы избежать рисков привлечения к ответственности за невыполнение 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/05/blog-post_30.html 
 https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae880191

Вопрос 17. А водоканалы попадают под 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/05/blog-post_31.html

Вопрос 18. Все ИС необходимо категорировать?

Ответ: https://valerykomarov.blogspot.com/2018/06/blog-post.html

Вопрос 19. На что влияют заявленные виды деятельности и лицензии организации?

Ответ: https://valerykomarov.blogspot.com/2018/06/187.html

Вопрос 20. Можно ли использовать методические документы по КСИИ для КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/06/blog-post_44.html

Вопрос 21. Какая публичная позиция по выполнению 187-ФЗ у ФСТЭК

Ответ: https://www.youtube.com/watch?v=WlVWGMZErHg&feature=share

Вопрос 22. Каким документом определяются ИС, функционирующие в сфере здравоохранения?

Ответ: https://valerykomarov.blogspot.com/2018/06/blog-post_13.html

Вопрос 23. ИТ-компании попадают под 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/06/blog-post_27.html

Вопрос 24. Какая позиция ФСТЭК по срокам и последовательности выполнения 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/07/187.htmlhttps://valerykomarov.blogspot.com/2019/04/blog-post_24.html

Вопрос 25. Какая последовательность действий субъекта КИИ по выполнению требований ФСТЭК, изложенных в решении коллегии ФСТЭК № 59.

Ответ: https://valerykomarov.blogspot.com/2018/07/187_4.html

Вопрос 26. Есть ли смысл для владельца АСУ ТП пытаться через категорирование уйти от 239 приказа ФСТЭК под 31 приказ?

Ответ: https://valerykomarov.blogspot.com/2018/07/31.html
              https://valerykomarov.blogspot.com/2018/08/31-2.html

Вопрос 27: Как субъекту КИИ взаимодействовать с операторами связи?

Ответ: https://valerykomarov.blogspot.com/2018/07/187_23.html

Вопрос 28: АСУ ТП производственных объектов сжиженного природного газа это объекты КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/08/187.html

Вопрос 29: Как оформить Перечень объектов, подлежащих категорированию для отправки в ФСТЭК?

Ответ: https://valerykomarov.blogspot.com/2018/08/blog-post_70.html

Вопрос 30: Как оформить решение о том, что организация не субъект КИИ?

Ответ: https://valerykomarov.blogspot.com/2018/10/187_16.html

Вопрос 31: Как спланировать выполнение 187-ФЗ?

Ответ: https://valerykomarov.blogspot.com/2018/10/187_22.htmlhttps://valerykomarov.blogspot.com/2019/09/blog-post.html

Вопрос 32: Какие методические документы НКЦКИ существуют и как их получить?

Ответ: https://valerykomarov.blogspot.com/2018/12/blog-post_5.html

Вопрос 33: Какие планы у регуляторов КИИ на 2019 год?

Ответ: https://valerykomarov.blogspot.com/2019/01/blog-post_14.html

Вопрос 34: Как ведомственному центру согласовать перечни объектов КИИ от подведомственных учреждений?

Ответ: https://valerykomarov.blogspot.com/2019/05/187.html

Вопрос 35: А официальный сайт относится к объектам КИИ?

Ответ: https://valerykomarov.blogspot.com/2019/05/blog-post_31.html

Вопрос 36: Что такое "обеспечение взаимодействия ОКИИ"?

Ответ: https://valerykomarov.blogspot.com/2019/07/blog-post_16.html

Вопрос 37: А как проводить категорирование органам власти и госучреждениям?

Ответ: https://valerykomarov.blogspot.com/2019/09/blog-post_24.html

Вопрос 38: Как субъекту КИИ выполнять 282 приказ ФСБ?

Ответ: https://valerykomarov.blogspot.com/2019/10/187_14.htmlhttps://valerykomarov.blogspot.com/2019/10/187-2.htmlhttps://valerykomarov.blogspot.com/2019/10/187-3.html

Вопрос 39: Положена ли доплата специалисту по безопасности ЗОКИИ?
Ответ: https://valerykomarov.blogspot.com/2019/12/blog-post_19.html

Вопрос 40: Есть ли шаблон для заполнения сведений по 236 Приказа ФСТЭК?
Ответ: https://valerykomarov.blogspot.com/2020/01/236.html

Вопрос 41: ЦОД это объект КИИ?
Ответ: https://valerykomarov.blogspot.com/2020/07/v2.html
 


36 комментариев:

  1. Атаманов Г. А.6 июня 2018 г. в 20:40

    Валерий, в качестве ответа на вопросы №2 и №3 указана одна и та же ссылка. Но там я не нашёл ответа на вопрос "Какой орган государственной власти имеет право указать организации, что она является субъектом КИИ?". Кто всё-таки является этим таинственным органом?

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий8 июня 2018 г. в 00:20

      Спасибо за замечание. Поправил ссылку.
      Только суд может, в рамках административного или уголовного дела.

      Удалить
    2. Комаров Валерий30 июля 2018 г. в 23:16

      https://valerykomarov.blogspot.com/2018/07/blog-post_30.html

      Удалить
  2. Unknown8 мая 2020 г. в 00:41

    На предприятии несколько десятков станков с ЧПУ. По формальным признакам подпадают под объект КИИ. В Сведениях были поданы как один объект с аналогичным системным ПО. Все станки автономные. Промышленной сети или сети АСУТП на предприятии нет. Позиция ФСТЭК - раз они автономные, то каждый станок- отдельный объект, который нужно отдельно категорировать и на каждый станок нужно направлять Сведения в Службу. Насколько такая позиция справедлива?

    ОтветитьУдалить
  3. Комаров Валерий8 мая 2020 г. в 09:43

    Если по формальным признакам каждый станок ЧПУ - это АСУ, то требования ФСТЭК справедливы.

    ОтветитьУдалить
  4. Анонимный30 октября 2020 г. в 07:50

    Добрый день! А любой ВУЗ является субъектом КИИ или есть варианты?

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий30 октября 2020 г. в 18:40

      Добрый день. Сфера образования не входит в сферу КИИ. Но указана сфера "наука".ВУЗ будет субъектом КИИ, если в нем осуществляется научная деятельность и эта деятельность автоматизирована компьютерными системами.

      Удалить
  5. Unknown18 ноября 2020 г. в 16:58

    Добрый день! Подскажите один момент, в постановлении сказано "В отношении объекта критической информационной инфраструктуры, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком..." А если объект кии создаётся не в рамках капитального строительства, категорирование когда можно проводить? Спасибо!

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий18 ноября 2020 г. в 18:03

      Там не так написано. "В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.". Объект капитального строительства указан через " в том числе". В вашем случае, категория значимости определяется до момента утверждения технических требований/технического задания на создание ИС/АСУ/ИТКС.

      Удалить
    2. Анонимный19 ноября 2020 г. в 03:13

      Спасибо большое! Да, после того как написал вам вопрос, начал "гулять" по вашем постам и нашел что данные изменения были внесены в 2019 году. Еще раз спасибо!

      Удалить
  6. Анонимный19 ноября 2020 г. в 10:41

    Валерий, в продолжении темы, возможно была практика, а как именно определяется категория значимости создаваемого ОКИИ. То есть необходимо провести категорирование? Кто определяет категорию значимости? Заказчик? Значит мы или..? Если можно то поподробнее. Возможно есть ссылки или тп. Спасибо!

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий19 ноября 2020 г. в 10:47

      Ничем не отличается от классификации ГИС или ИСПДн при их создании. Категорию значимости определяет тот кто тратит деньги на создание (заказчик создания/модернизации). Посмотрите Постановление Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации". В КИИ все делается аналогично

      Удалить
    2. Анонимный19 ноября 2020 г. в 11:58

      Спасибо! Будем изучать.

      Удалить
  7. Анонимный25 ноября 2020 г. в 18:01

    Доброе время суток! Подскажите пожалуйста, в отношении создаваемого ОКИИ мы в течении 10 дней после утверждения ТЗ должны отправить сведения. А что касается перечня при создаваемом ОКИИ, нужно ли в него вносить изменения или достаточно направленных сведений? Может есть ссылка. Спасибо.

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий25 ноября 2020 г. в 19:45

      Весь смысл Перечня - фиксация срока категорирования. Утвердили Перечень - пошел отсчет 12 месяцев. Для вновь создаваемых ОКИИ вы уже присвоили категорию и направили сведения в ФСТЭК. Зачем вносить в Перечень? Это даже по названию Перечня не логично -перечень объектов критической информационной инфраструктуры, подлежащих категорированию.

      Удалить
  8. Анонимный27 ноября 2020 г. в 06:10

    Валерий добрый день!
    Подскажите пожалуйста обязаны ли субъекты КИИ подключатся к госсопке? (правовой документ)Можно ли в случае инцидента направлять информацию в НКЦКИ, самим реагировать на инцидент, и потом сообщать о результате без госсопки?

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий27 ноября 2020 г. в 10:56

      смотря что вы подразумеваете под "подключаться к госсопке". Судя по вопросу, речь идет об использовании технической инфраструктуры НКЦКИ, см. приказ Приказ ФСБ России от 24.07.2018 N 367. Согласно 187-ФЗ вы не обязаны иметь подключение к технической инфраструктуре ГосСОПКА. И приказ ФСБ это учитывает - 4. В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".

      Удалить
  9. Анонимный27 ноября 2020 г. в 10:48

    Здравствуйте! Есть образец документа о том что ИС не обеспечивает критический процесс? Кто его должен подписывать?

    ОтветитьУдалить
  10. Комаров Валерий27 ноября 2020 г. в 11:17

    Пишется в свободной форме, поскольку законодательством не предусмотрен. Подписывает комиссия по категорированию. Только в 187-ФЗ нет упоминаний критических процессов. И не предусмотрено исключение по категорированию ОКИИ. Такой акт не имеет никакого смысла.

    ОтветитьУдалить
  11. Анонимный27 ноября 2020 г. в 11:55

    Может не верно выразился, пп127, .. выявляются управленчиские, технологические.... процессы (критические процессы) а затем определение ОКИИИ которые обробатывают информацию необходимую для обеспечения критических процессов. А если ОКИИ не обробатывает информацию с критического процесса. То не плохо бы было зафиксировать что да ИС есть она ОКИИ но категорировать её не надо она не касается критических процессов. Кажется как то так..

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий27 ноября 2020 г. в 12:29

      ст.7 187-ФЗ не содержит никаких указаний по исключению ОКИИ из процедур категорирования. ПП127 это подзаконный акт к 187-ФЗ и в область действия пп127 не входит определять что категорировать, а только КАК категорировать. Все ОКИИ подлежат категорированию, вне зависимости от процессов, которые они обеспечивают.

      Удалить
  12. Анонимный10 декабря 2020 г. в 11:19

    Добрый день! Подскажите пожалуйста в приказе 235 идет речь что руководитель субъекта должен .... но проскальзывает такое понятие как "уполномоченное лицо" с функциями обеспечения безопасности. В некоторых пунктах идет просто руководитель делает так то, а в некоторых руководитель в скобках уполномоченный. Как тут понять если руководитель назначил уполномоченного то всё в части обеспечения безопасности может делать только он, или только в тех пунктах в которых он явно прописан? или всё таки подразумевается что либо руководитель лиьбо уполномоченный. Спасибо!

    ОтветитьУдалить
  13. Нефедьев С.Г.24 марта 2021 г. в 20:45

    Валерий, если сможете - поясните. Откуда взяты числовые параметры экономической значимости? По логике, если есть параметры, значит уже кто-то что-то оценил "где-то там, наверху" критерии опасности для бюджетов корпораций и Российской Федерации. Если оценил, значит использовал какую-то методику. При отсутствии данных об этих методиках напрашивается вывод о "координации профанации" со стороны регулятора.

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий24 марта 2021 г. в 22:12

      Это сокрыто тайнами. Достаточно посмотреть на показатели значимости для других категорий в проекте ПП127 на 2017 год, в первой редакции на 2018 и в действующей редакции на 2019 год. Некоторые изменились в 50 раз! Выводы соответствующие можно сделать самостоятельно.

      Удалить
    2. Нефедьев С.Г.27 марта 2021 г. в 12:09

      Как-то не логично получается? :) Если единица измерения длины в виде метра вчера была равна 80 см, сегодня - 110 см, то завтра мы с использованием этакого "раздвижного измерителя" "евроремонт" явно не сделаем :) А если говорить про "мерило закона"? В итоге-то уже заранее становится понятна конфигурация "будущего сооружения".

      Удалить
  14. Нефедьев С.Г.27 марта 2021 г. в 12:13

    Валерий, по теме "сооружаемой конструкции" с использованием "раздвижного законодательного мерила":
    Статьёй 14 Федерального закона от 26.07.2017 №187-ФЗ
    «О безопасности критической информационной инфраструктуры Российской
    Федерации», порядком, отражённым в приказе ФСБ России от 19.07.2019
    № 282 и мерами, определёнными приказом ФСТЭК России от 25.12.2017
    № 239 по реагированию на компьютерные инциденты, не предусматривается
    действия по идентификации источника, причинившего ущерб, и привлечение
    его к ответственности с целью компенсации ущерба:
    – субъекту КИИ, выполнившего требования по защите объекта КИИ,
    как обладателю информации, принявшего меры по её защите;
    – субъектам (физическим и юридическим лицам, государству),
    которым нанесён ущерб, определённый «Показателями критериев
    значимости…».
    Следствием невозможности идентификации источника ущерба
    невозможность
    проведения
    мероприятий,
    определённых
    законодательством о проведении следственных мероприятий и о
    судопроизводстве.
    Отсутствие судебного решения (определения) по факту причинения
    ущерба, делает невозможным компенсацию ущерба и привлечение
    виновников к ответственности.
    При этом в сумму ущерба субъекта КИИ кроме причинённого
    виновником войдёт и сумма, потраченная на обеспечение безопасности
    объекта КИИ.
    Кроме того, при невозможности идентификации реального источника
    ущерба, в силу статьи 274 и части 3 статьи 274.1 УК РФ субъект КИИ,
    которому нанесён ущерб, сам же будет отвечать за нарушение правил
    эксплуатации или правил доступа в уголовном порядке.
    То есть отсутствие в законодательстве о КИИ требований
    об идентификации источника, причинившего ущерб, изначально в
    нарушение презумпции невиновности превращает субъекта КИИ в лицо,
    осуществившее покушение на преступление.
    В результате не только исчезает неотвратимость наказания
    за преступления, определённые статьёй 274.1 УК РФ для источника,
    причинившего ущерб, но и в целом теряется смысл всех принимаемых мер
    по обеспечению безопасности для значимых объектов КИИ как для субъекта
    КИИ, так и для Российской Федерации в целом.
    Вопрос:
    Требуется разъяснение порядка идентификации лиц,
    совершивших преступления, определённые статьёй 274.1 УК РФ, и порядок
    взаимодействия между субъектом КИИ и полномочными органами
    исполнительной власти с целью задержания и привлечения к
    ответственности лиц, совершивших преступления или нарушения.

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий27 марта 2021 г. в 22:31

      187-ФЗ направлен на защиту государственных интересов, а не субъектов КИИ. Практика привлечения к уголовной ответственности по 274.1 УК РФ уже сформировалась, около 20 приговоров вынесено.

      Удалить
    2. Нефедьев С.Г.30 марта 2021 г. в 19:32

      Валерий, ответ на вопрос не получен. Чтобы было более понятно (статья есть Консультанте): https://cyberleninka.ru/article/n/nepravomernoe-vozdeystvie-na-kriticheskuyu-informatsionnuyu-infrastrukturu-ugolovnaya-otvetstvennost-ee-vladeltsev-i-ekspluatantov (НЕПРАВОМЕРНОЕ ВОЗДЕЙСТВИЕ НА КРИТИЧЕСКУЮ ИНФОРМАЦИОННУЮ ИНФРАСТРУКТУРУ: УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ ЕЕ ВЛАДЕЛЬЦЕВ И ЭКСПЛУАТАНТОВ). Автор - Ю.В. ТРУНЦЕВСКИЙ:
      "диспозиция ч. 3 данной статьи включает противоправные
      деяния в форме как активного действия, так и бездействия в отношении соблюдения правил
      эксплуатации и доступа к объектам КИИ. Обязательным признаком составов рассматриваемых
      преступлений является наступление общественно опасных последствий: причинение вреда КИИ РФ (ч. ч. 3 и 4) и тяжкие последствия, имеющие значение для ее безопасности (ч. 5). Субъект
      (исполнитель) данного преступления - специальный (владелец/эксплуатант КИИ), имеющий
      доступ к КИИ РФ либо к относящимся к ней объектам в силу исполнения своих служебных
      обязанностей и обязанный исполнять установленные правила эксплуатации, доступа к КИИ". "С субъективной стороны деяние, описанное в ч. 3 ст. 274.1 УК РФ, характеризуется виной как
      в форме умысла, так и неосторожности - невыполнение необходимых мероприятий по
      обеспечению безопасности объекта КИИ, что повлекло причинение ему вреда. Такая трактовка
      форм вины связана с тем, что нарушения штатного режима функционирования АСУ ТП КВО могут
      быть следствием как ошибок в работе ее систем и устройств, так и целенаправленного
      воздействия на АСУ ТП КВО, т.е. важно учитывать причины возникновения нарушений. Лицо
      предвидит причинение вреда КИИ в результате нарушения им правил эксплуатации (доступа), но
      без достаточных к тому оснований самонадеянно рассчитывает на предотвращение возможного
      наступления последствий, либо не предвидит их, хотя при должной осмотрительности и
      внимательности это лицо должно было и могло их предвидеть"

      Удалить
    3. Комаров Валерий30 марта 2021 г. в 21:24

      так ответа не существует. Есть только мнения отдельных юристов. Есть решения судов. Например -"Названные действия злоумышленника привели к нарушению процесса предоставления услуг связи абонентам и тем самым нанесли существенный вред критической информационной инфраструктуре." https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-tri-goda-5ffae131af142f0b1716ee38

      Удалить
    4. Комаров Валерий30 марта 2021 г. в 21:28

      Это одно из самых существенных замечаний к ст.274.1 УК РФ. Еще с момента законопроекта, уже тогда в заключении ВС РФ было указано, что формулировка носит субъективно-оценочный характер и несет существенные риски в применении. В законопроекте изменения ст.274.1 именно по этой причине предлагается вернуться к классической форме для компьютерных преступлений- крупный ущерб.

      Удалить
    5. Комаров Валерий30 марта 2021 г. в 21:30

      Все эти трактовки по модификацию и т.д. идут от разъяснений Генпрокуратуры к ст.274 УК РФ. А она совсем по про другое преступление.

      Удалить
  15. Анонимный14 мая 2021 г. в 22:50

    Валерий, добрый день! Подскажите - вот если мини-котельная обслуживает многоквартирный дом, у неё есть АСУ - это субъект КИИ или нет? Елене Торбенко задавали этот вопрос, она ответила дословно: "Вспоминаем статью 2 — если юрлицу принадлежит автономное средство, есть функционал по выработке энергии/тепла, то тогда это объект КИИ. Если же ТСЖ установило у себя эту установку для внутреннего пользования и фактически вырабатывает для себя эту энергию (то есть не продает её), то здесь признаков субъекта/объекта КИИ не будет"
    Вот непонятно - если для себя вырабатывают тепло - то это не КИИ. Но разве вывод из строя котельной не повлечет ущерб для реальных людей этого дома? Очень тонкая грань какая-то получается. Что вы думаете по этому поводу?
    Заранее спасибо за ответ.

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий15 мая 2021 г. в 22:04

      добрый день. Собственно я этот вопрос и задал Е. Торбенко. В 187-ФЗ нет понятия "для себя". С тем же основанием тогда можно было исключить АСУ котельной больницы, она ведь тепло только для себя дает. Единственное исключение из 187-ФЗ - принадлежит физ лицу. Лично я думаю, что ФСТЭК об этом просто не задумывался и окончательного ответа не имеет.

      Удалить
  16. Анонимный16 мая 2021 г. в 01:41

    Валерий, как вы думаете - в 187-ФЗ в статье 2 есть "энергетика" и есть "ТЭК". Это просто ФСБ подстраховалась при подготовке законопроекта, или в "энергетике" есть что-то такое чего нет в "ТЭКе"? Вот я как ни думаю, у меня всё "энергетическое" уходит в "ТЭК", и зачем тогда энергетику указывали в законе? Смотрю метод рекомендации Минэнерго по КИИ по ТЭК, и там всё в общем-то перечислено.

    ОтветитьУдалить
    Ответы
    1. Комаров Валерий16 мая 2021 г. в 01:53

      генерации тепла как раз и нет в ТЭК, там только ТЭЦ.

      Удалить

Подписаться на: Сообщения (Atom)