Обеспечение безопасности КИИ. Выполнение требований 187-ФЗ

Главная - КИИ: чего ожидать и что делать?

КИИ: чего ожидать и что делать? 

 Дата: 25.01.2018

Samatov Константин Саматов, руководитель направления Аналитического центра УЦСБ

Аббревиатура КИИ (критическая информационная инфраструктура) ставшая особенно популярной с июля 2017 года в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (вступил в силу 1 января 2018 года) и по сей день порождает массу вопросов практической направленности, ответы на которые автор постарается дать в данной статье.

В чем особенности правового статуса субъекта критической информационной инфраструктуры?

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом, субъектов критической информационной инфраструктуры (далее – субъект КИИ), по мнению автора, можно разделить на два вида:

  1. Обладатели объектов КИИ. Им необходимо одновременно соответствовать трем критериям:
  • Относиться к государственному органу, государственному учреждению, российскому юридическому лицу или индивидуальному предпринимателю. Иными словами, иностранные юридические лица, субъектами КИИ не являются.
  • Объект информационной инфраструктуры (информационная система, информационно-телекоммуникационная сеть, автоматизированная система управления) должен принадлежать субъекту на праве собственности, аренды или ином законном основании. По мнению автора, термин «принадлежат», использованный законодателем, в указанном контексте не совсем удачен, т.к. большинство толковых словарей русского языка толкует его как «находиться в чье-либо собственности», при этом, исходя из контекста следует, что субъекту достаточно владеть и (или) пользоваться (например, посредством удаленного доступа) объектом критической инфраструктуры.
  • Объект информационной инфраструктуры должен функционировать в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Как понять, относится ли объект к той или иной сфере? По мнению автора, на то должно быть прямое указание в действующем законодательстве. Например, статья 91 «Информационные системы в сфере здравоохранения» Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» однозначно прописывает, какая информация обрабатывается в информационных системах в сфере здравоохранения и кто относится к их операторам. Иной способ определять относится ли предприятие (организация) к той или иной сфере, как видится автору – это использовать Общероссийский классификатор видов экономической деятельности (ОКВЭД).
  1. Организации, обеспечивающие взаимодействие между объектами КИИ, им необходимо одновременно удовлетворять двум критериям:
  • быть российским юридическим лицом или индивидуальным предпринимателем;
  • обеспечивать взаимодействие между объектами КИИ.

Таким образом, вопреки распространенному мнению, далеко не каждая организация является субъектом КИИ.

Сколько видов КИИ - два или четыре?

Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, среди специалистов-практиков в области информационной безопасности ведется достаточно большое количество споров о классификации объектов КИИ.

По мнению автора, объекты КИИ целесообразно подразделить на два вида «значимый» и «не значимый», а значимые объекты на три категории (в соответствии с ч. 3 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»): самая высокая категория - первая, самая низкая - третья.

От «величины» категории значимого объекта КИИ зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования объекта. Подход, ставший уже стандартным и аналогичный требованиям к информационным системам персональных данных (приказы ФСТЭК России № 17 и 21) и автоматизированным системам управления технологическими процессами (приказ ФСТЭК России № 31). При этом, следует отметить, что для информационных систем (информационных систем персональных данных), операторы которых традиционно уделяли первостепенное значение обеспечению конфиденциальности информации, равное значение приобретает обеспечение ее целостности и доступности.

Кроме того, от категории значимого объекта КИИ зависит выбор мер, направленных на нейтрализацию действий возможного нарушителя. Так, пункт 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации [1] предусматривает, что выбранные и реализованные в значимом объекте меры по обеспечению безопасности, как минимум, должны обеспечивать:

  • в значимых объектах 1 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
  • в значимых объектах 2 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже базового повышенного уровня;
  • в значимых объектах 3 категории - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с базовым потенциалом.

Потенциал нарушителя определяется в ходе оценки его возможностей (потенциала), проводимой при анализе угроз безопасности информации.

Что касается объектов КИИ не отнесенных к значимым, то для них никаких дополнительных мер по обеспечению информационной безопасности, в соответствии с существующими и находящимися в проекте на сегодняшний день нормативно-правовыми актами, не требуется.

«Значимый» или «не значимый» объект КИИ?

Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, которые планируются к утверждению Правительством Российской Федерации. Проект указанного постановления уже доступен в любой справочно-правовой системе. По мнению автора, в рамках указанной статьи нет смысла подробно разбирать каждый из критериев, рассмотрим лишь некоторые из них:

  • Возможно причинение ущерба жизни и здоровью людей, оцениваемое в количестве людей, жизни и здоровью которых возможно причинение ущерба, человек. Минимальное значение, для присвоение третьей категории – 1 человек. Таким образом, практически любая автоматизированная система управления технологическими процессами будет относиться к значимому объекту КИИ.
  • Возможно прекращение или нарушение функционирования системы управления сетью связи, оцениваемое: в территории, на которой возможно прекращение или нарушение функционирования сети связи (для присвоения третьей категории достаточно территории муниципального образования) или в количестве людей, для которых могут быть не доступны услуги связи, в тыс. чел (от 50). Таким образом, информационные системы и информационно-телекоммуникационные сети практически всех операторов связи будут относиться к значимым объектам КИИ.
  • Возможно отсутствие доступа к государственным услугам, предоставляемым в электронном виде, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга, предоставляемая в электронном виде, может быть недоступна для пользователей, в часах (от 24 часов и меньше). Таким образом, любая информационная система (информационная система персональных данных) любого субъекта (государственный орган, государственное учреждение и т.п.) участвующая в процессе оказания государственной услуги, будет относиться к значимому объекту КИИ.
  • Возможно прекращение и (или) нарушение функционирования более чем на 4 часа, а также подмена официального сайта государственного органа, оцениваемое в уровне (значимости) государственного органа (начиная от орган государственной власти субъекта или города федерального значения). Таким образом, официальный сайт любого органа законодательной, исполнительной, либо судебной власти следует относить к значимому объекту КИИ.
  • Возможно прекращение или нарушение проведения клиентами операций по банковским счетам (без открытия банковского счета) или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (НКО), в млн. единиц (расчет осуществляется по итогам года, а для создаваемых объектов на основе прогнозных значений) (минимум 3,0). А вот организации банковского сектора, вопреки сложившемуся мнению, напротив, далеко не все будут относиться к значимым объектам КИИ. 

Каков порядок категорирования? 

Категорирование объектов КИИ осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (т.е. по сути – любые бизнес-процессы) в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.

В соответствии с ч. 4 ст. 17 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты КИИ присваивают категорию объекту КИИ опираясь на критерии значимости и показатели их значений, руководствуясь порядком осуществления категорирования. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Процедура категорирования включает следующие этапы:

  1. Создание комиссии по категорированию, в составе:
  • Руководитель субъекта КИИ или уполномоченное им лицо. Он же является председателем этой комиссии.
  • Работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышленной) и пожарной безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов.
  • Работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры.
  • Работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну).
  • Работники структурного подразделения по гражданской обороне объекта или работники, уполномоченные на решение задач в области гражданской обороны.

Таким образом, состав комиссии является обширным. При этом, по мнению автора, оставленная законодателем возможность для руководителя субъекта КИИ уклониться от указанного процесса (назначить уполномоченное лицо), на практике, приведет к тотальному наделению функциями председателя комиссии по категорированию объекта КИИ руководителя службы безопасности (службы информационной безопасности).

  1. Формирование перечня объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России (п. 15 проекта постановления Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»). Максимальный срок категорирования объектов критической информационной инфраструктуры не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию.
  2. Осуществление категорирования объектов КИИ в соответствии с планом и составление актов категорирования для каждого из объектов. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.
  3. Направление сведений о результатах присвоения объекту (объектам) КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему такой категорий во ФСТЭК России, в десятидневный срок со дня утверждения акта категорирования.
  4. Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России, после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления. 

Можно ли не проводить категорирование? 

Субъект КИИ будет обязан приступить к категорированию с момента вступления в силу Постановления Правительства РФ «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования» и в течение шести месяцев согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию, а также сроки проведения их категорирования, а затем в течение одного года провести категорирование объектов КИИ и направить утвержденные акты во ФСТЭК.

В случае непредставления субъектом критической информационной инфраструктуры сведений о результатах категорирования объекта критической информационной инфраструктуры ФСТЭК России направляет в адрес указанного субъекта требование о необходимости соблюдения положений статьи 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (ч. 11 ст. 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»).

Невыполнение указанного требования влечет административную ответственность по ст. 19.4 Кодекса об административных правонарушениях Российской Федерации. Помимо этого, само по себе не предоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административного правонарушения, предусмотренного ст. 19.7 Кодекса об административных правонарушениях Российской Федерации.

Кроме того, само по себе проведение категорирования важно, как уже было отмечено выше, для обеспечения необходимых и достаточных, в соответствии с действующим законодательством, правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, а также правил доступа к информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, за нарушение которых (а нарушение может выражаться как в форме действия, так и бездействия) если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации предусмотрена уголовная ответственность по ст. 274.1 Уголовного кодекса Российской Федерации.

Таким образом, с учетом изложенного, автор не рекомендует пренебрегать исполнением требований Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Сведения об авторе: Саматов Константин Михайлович, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.


[1] На момент подготовки данной статьи (25 января 2018 года) проект приказа ФСТЭК России.

В статье рассматриваются вопросы правового статуса субъектов и объектов КИИ, их виды, порядок категорирования и юридическая ответственность за несоблюдение ФЗ 187.
1