О безопасности критической информационной инфраструктуры Российской Федерации

Проблематика обеспечения безопасности критической информационной инфраструктуры и информационных ресурсов Российской Федерации вышла на новый эволюционный уровень в связи с вступлением 1 января 2018 г. в силу Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - Закон), развивающим концептуальные основы Доктрины информационной безопасности Российской Федерации, утвержденной указом Президента Российской Федерации от 5 декабря 2016 г. № 646, установившей одним из национальным интересом в информационной сфере – обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры, в первую очередь критической информационной инфраструктуры Российской Федерации и единой сети электросвязи Российской Федерации, в мирное время, в период непосредственной угрозы агрессии и в военное время. Актуальность данного направления возрастает. На различных профильных площадках появляются дискуссии по теме правоприменения, реализации Закона и издаваемых в его исполнение подзаконных нормативных правовых актов, а также документов федеральных органов исполнительной власти, которые определены регуляторами данного направления, – ФСТЭК России и ФСБ России, но проблемы могут ожидать защитника в самом начале своего пути, на это и постараемся обратить внимание в данной статье.

Издание Закона повлекло за собой постепенное вырождение понятия ключевые системы информационной инфраструктуры[1], сопровождающееся его заменой понятием критической информационной инфраструктуры Российской Федерации (далее - КИИ), которым законодатель называет объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

1. Информационное сообщение ФСТЭК России от 4 мая 2018 г. № 240/22/2339 «О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации».

Основополагающая роль отводится объектам КИИ, под которыми законодателем понимаются любые информационные системы[2], информационно-телекоммуникационные сети[3], автоматизированные системы управления[4] субъектов КИИ.

2. Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

3. Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

4. Комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Под субъектами КИИ, в свою очередь, понимаются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

• здравоохранения[5];
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и других и сферах банковского рынка[6];
• топливно-энергетического комплекса[7];
• в области атомной энергии[8];
• оборонной промышленности [9];
• ракетно-космической промышленности;
• горнодобывающей промышленности;
• металлургической промышленности;
• химической промышленности.

5. Информационные системы в сфере здравоохранения – государственные информационные системы в сфере здравоохранения, информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, государственные информационные системы в сфере здравоохранения субъектов Российской Федерации, медицинские информационные системы медицинских организаций и информационные системы фармацевтических организаций (постановление Правительства Российской Федерации от 12 апреля 2018 № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями»).

6. См. ст. 1 и 2 Федерального закона от 13 июля 2015 г. № 223-ФЗ «О саморегулируемых организациях в сфере финансового рынка».

7. Объекты топливно-энергетического комплекса – объекты электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также объекты нефтепродуктообеспечения, теплоснабжения и газоснабжения (Федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»), а также необходимо учитывать Федеральный закон от 3 декабря 2011 г. № 382-ФЗ «О государственной информационной системе топливно-энергетического комплекса».

8. См. ст. 4 Федерального закона от 21 ноября 1995 г. № 170-ФЗ «Об использовании атомной энергии».

9. См. Перечень организаций, включённых в сводный реестр организаций оборонно-промышленного комплекса, утверждённый приказом Минпромторга России от 3 июля 2015 г. № 1828, но не только.

В тексте Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденного приказом ФСТЭК России от 6 декабря 2017 г. № 227, сферы энергетики и топливно-энергетического комплекса объединены. Как следствие ФСТЭК России выделяет 12 областей, в которых могут функционировать информационные системы, информационно-телекоммуникационные сети и (или) автоматизированные системы.

Закон также относит к субъектам КИИ российских юридических лиц и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие указанных выше информационных систем или информационно-телекоммуникационных сетей.

Примечательно, что к объектам КИИ не были отнесены информационные системы федеральных (региональных) органов исполнительной власти, федеральных органов субъектов Российской Федерации, участвующие или при помощи которых оказываются государственные услуги[10], и информационные системы, непосредственно задействованные в обеспечении обороны страны, безопасности государства и правопорядка. Однако критерий значимости подобных объектов (например, время отсутствия доступа к государственной услуге для получателей такой услуги или значимость объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка) учитывается при их категорирован��и. Кроме того, процессы, нарушение которых приводит к негативным последствиям для обеспечения обороны страны, безопасности государства и правопорядка, отнесены к критическим.

10. Государственная услуга – деятельность по реализации функций соответственно федерального органа исполнительной власти, государственного внебюджетного фонда, исполнительного органа государственной власти субъекта Российской Федерации, а также органа местного самоуправления при осуществлении отдельных государственных полномочий, переданных федеральными законами и законами субъектов Российской Федерации, которая осуществляется по запросам заявителей в пределах установленных нормативными правовыми актами Российской Федерации и нормативными правовыми актами субъектов Российской Федерации полномочий органов, предоставляющих государственные услуги (Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»).

Приобретение статуса субъекта КИИ и выявление объектов КИИ

Ключевым аспектом является процесс выявления объектов КИИ и приобретение владельцами информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (далее - ИС, ИТС, АСУ) статуса субъектов КИИ и принятие обязательств по выполнению положений рассматриваемого Закона. Данный процесс законодатель возлагает на плечи владельцев ИС, ИТС, АСУ.

Закон прямо говорит о том, что владелец ИС, ИТС, АСУ приобретает статус субъекта КИИ, если хотя бы одна из принадлежащих ему ИС, ИТС, АСУ функционирует в определенной сфере[11]. Однако сами по себе объекты КИИ не привязаны к сферам функционирования, но принадлежат субъекту КИИ (рис. 1).

11. Ситуацию, когда субъектами КИИ становятся российские юридические лица и (или) индивидуальные предпринимателей, которые обеспечивают взаимодействие информационных систем или информационно-телекоммуникационных сетей, функционирующих в сферах, определенных Законом, опустим.

Следовательно, владельцу ИС, ИТС, АСУ для приобретения статуса субъекта КИИ и выявления объектов КИИ необходимо удостовериться, что либо он сам[12], либо хотя бы одна из принадлежащих ему ИС, ИТС, АСУ функционирует в одной из установленных Законом сфер (рис. 2). В случае положительного решения такой владелец приобретает статус субъекта КИИ, и все принадлежащие ему ИС, ИТС, АСУ в соответствии с буквой Закона автоматически становятся объектами КИИ.

12. Предполагается, что если владелец ИС, ИТС, АСУ функционирует в одной из установленных Законом сфер, то априори все принадлежащие ему ИС, ИТС, АСУ будут функционировать в этой сфере.

Имеет место быть мнение, подразумевающее, что объектами КИИ является не все принадлежащие субъекту КИИ ИС, ИТС, АСУ, а только те, что непосредственно участвуют в обработке критических процессов и (или) функционируют в указанных в Законе сферах. К сожалению, данная точка зрения обосновывается только лишь позицией здравого смысла, но противоречит букве Закона. Тем не менее, пренебрегать ей не стоит, так как она укладывается в общий замысел обеспечения безопасности КИИ, и попытка приблизиться к такому пониманию объектов КИИ предпринята ФСТЭК России в подзаконных правовых актах, издаваемых в исполнение рассматриваемого Закона.

Одной из самых распространённых ошибок отнесения ИС, ИТС, АСУ к объектам КИИ и принятия на себя обязанностей субъекта КИИ владельцами ИС, ИТС, АСУ является то, что некоторые из них пренебрегают понятиями субъект КИИ и объект КИИ, установленными Законом, и принимают статус субъекта КИИ, исходя не из требований Закона, но опираясь на критерии значимости, приведенные в постановлении Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее - ПП-127). Другими словами, в этом случае исходным становится приведенное постановление Правительства, а не Закон. Следствием такой ошибки является то, что субъектами КИИ становятся организации, ИС, ИТС, АСУ которых не функционируют в установленных Законом сферах, но для них, по мнению ответственных руководящих лиц, актуальны критерии значимости, установленные ПП-127.

Чтобы не стать жертвой такого ошибочного суждения, надо понимать, что, во-первых, объекты КИИ – это все принадлежащие субъекту КИИ ИС, ИТС и (или) АСУ, и во-вторых, субъект КИИ – это государственный орган, организация, которым принадлежат ИС, ИТС и (или) АСУ, функционирующие в строго определенных сферах, или организация, обеспечивающая взаимодействие таких ИС, ИТС и (или) АСУ. Ни о каких критериях значимости в вопросе определения субъекта КИИ и объектов КИИ речи не идет. Критерии значимости применяются к уже выявленным объектам КИИ в процессе категорирования.

В случае отсутствия у владельца ИС, ИТС, АСУ оснований для приобретения статуса субъекта КИИ, рекомендуется документально подтвердить и оформить этот факт.

Категорирование объектов КИИ

Следующим этапом в обеспечении безопасности объектов КИИ является их категорирование, которое проводится в порядке и сроки, установленные ПП-127.

Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

Категорирование объектов КИИ осуществляется пошагово в следующем порядке:

Ι. Создание руководителем субъекта КИИ постояннодействующей комиссии по категорированию, в состав которой включаются:

а) руководитель субъекта КИИ или уполномоченное им лицо;

б) работники субъекта КИИ - специалисты в области выполняемых функций или осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами и их учету;

в) работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов КИИ;

г) работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

В состав комиссии по категорированию также могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.

Кроме того, в состав комиссии рекомендуется включать работников бухгалтерии (финансово-экономических) и правовых (юридических) подразделений, что не запрещается ПП-127.

ΙΙ. Формирование перечня объектов КИИ, подлежащих категорированию.

ΙΙΙ. Согласование (при необходимости) перечня объектов КИИ, подлежащих категорированию, с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативному-правовому регулированию в сфере, в которой функционирует субъект КИИ.

ΙV. Утверждение перечня объектов КИИ, подлежащих категорированию, руководителем субъекта КИИ.

V. Направление в течение 10 рабочих дней после утверждения согласованного и утверждённого перечня объектов КИИ, подлежащих категорированию, в ФСТЭК России.

Постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127» рекомендуется, а государственным органам и государственным учреждениям – предписывается, утвердить перечни объектов КИИ, подлежащих категорированию, до 1 сентября 2019 г. Соответственно, очевидно, что крайним сроком завершения категорирования, как минимум для государственных организаций, будет являться 1 сентября 2020 г.

VΙ. Сбор исходной информации для категорирования.

VΙΙ. Определение категорий значимости объектов КИИ (непосредственно категорирование, которое производится в течении одного года после утверждения перечня объектов КИИ, подлежащих категорированию), осуществляющееся комиссией по категорированию на основании показателей критериев значимости объектов КИИ и их значений, предусмотренных перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений. Выделяется 21 показатель критериев значимости, которые разделены на 5 основных групп:

1) социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политическая значимость,выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономическая значимость,выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации.

4) экологическая значимость,выражающаяся в оценке уровня воздействия на окружающую среду;

5) значимость для обеспечения обороны страны, безопасности государства и правопорядка.

По итогам категорирования объекту КИИ присваивается одна из трех категорий значимости: самая высокая – первая, самая низкая – третья.

Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, то в таком случае категория значимости не присваивается.

Результаты категорирования оформляются актом, который содержит сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ, который организует и обеспечивает его хранение до вывода из эксплуатации объекта КИИ или до изменения категории значимости.

Акт категорирования допускается составлять либо для каждого из объектов КИИ индивидуально, либо в форме единого документа для нескольких объектов КИИ.

Представляется интересной позиция, которая подразумевает, что категорированию подлежат не все объекты КИИ. Основывается эта позиция на том, что косвенно ПП-127 предписывает произвести категорирование только объектов КИИ, обеспечивающих управленческие, технологические, производственные, финансово-экономические и (или) другие процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, негативно отразиться на обеспечении обороны страны, безопасности государства и правопорядка. Такие процессы законодатель именует критическими. Именно объекты КИИ, обеспечивающие выполнение критических процессов предполагается включать в перечень объектов КИИ, подлежащих категорированию. Таким образом происходит своеобразное отсеивание объектов КИИ: первоначально субъект КИИ определяет все объекты КИИ, принадлежащие ему на праве собственности, аренды или ином законном основании, затем на этой основе формируется перечень объектов КИИ, которые подлежат категорированию (их состав может быть равен или меньше общего количества объектов КИИ), после категорирования определяются значимые объекты КИИ (их количество может быть равно или меньше количества объектов КИИ, подлежащих категорированию, или значимые объекты могут отсутствовать вовсе) (рис. 3).

VΙΙΙ. Направление в ФСТЭК России в течении 10 рабочих дней со дня утверждения акта категорирования форм о результатах присвоения каждому из объектов КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Образец отчетной формы о результатах присвоения каждому из объектов КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий утвержден приказом ФСТЭК России от 22 декабря 2017 № 236 «Об утверждении формы направлении сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Помимо этого, стоит отметить, что акт категорирования объекта КИИ и рассматриваемая форма представляют собой два самостоятельных документа.

ΙΧ. Получение уведомления от ФСТЭК России одного из двух уведомлений: о включении в реестр значимых объектов КИИ и (или) передаче сведений в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА), или возращении сведений о результатах категорирования (в случае выявления ФСТЭК России нарушений в процессе присвоения категории).

Устранение нарушений, недостатков и повторное направление сведений о результатах категорирования в ФСТЭК России осуществляется в течении 10 дней.

Χ. Пересмотр установленной категории значимости или решений об отсутствии необходимости присвоения объектам КИИ таких категорий осуществляется самостоятельно субъектом КИИ не реже чем один раз в 5 лет или:

а) в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений;

б) по мотивированному решению ФСТЭК России, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;

в) в случае изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

г) в связи с ликвидацией, реорганизацией субъекта КИИ и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта КИИ.

Утрировано процесс категорирования представлен на рис. 4.

По итогам категорирования у субъекта КИИ, как минимум, на хранение остаются:

1. Приказ о создании комиссии по категорированию и определению ее состава.
2. Акт(ы) категорирования.
3. Копия (второй экземпляр) Перечня объектов КИИ, подлежащих категорированию.
4. Копия (второй экземпляр) форм(ы), содержащей(их) сведения по каждому из объектов КИИ, предусмотренных п. 17 Правил категорирования объектов КИИ Российской Федерации, утвержденных ПП-127, в соответствии с приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
5. Копии (второй экземпляр) писем во ФСТЭК России о направлении перечня объектов КИИ, подлежащих категорированию, и сведений по каждому из объектов КИИ.
6. Уведомление от ФСТЭК России о включении объекта КИИ в реестр значимых объектов КИИ и (или) передачи сведений в ГосСОПКА.

Заключение

Итогом категорирования объектов КИИ станет их концептуальное деление на значимые и, если так можно выразиться, незначимые. Именно наличие значимых объектов КИИ повлечет за собой осуществление дополнительных мероприятий по обеспечению их безопасности.

Например, в отношении значимых объектов субъекту КИИ необходимо будет реализовать требования приказов ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Данные дополнительные мероприятия не реализуются для значимых объектов КИИ, если они обрабатывают информацию, составляющую государственную тайну.

Помимо этого, при наличии значимых объектов КИИ субъекту КИИ необходимо быть готовым к государственному контролю в области обеспечения их безопасности, который реализуется ФСТЭК России по истечению 3 лет со дня внесения сведений об объекте КИИ в реестр значимых объектов КИИ или по окончанию осуществления последней плановой проверки в отношении значимого объекта КИИ.

Также стоит отметить, что наличие исключительно незначимых объектов КИИ не освобождает субъектов КИИ от дальнейших мероприятий, связанных с реализацией Закона: не стоит забывать о ГосСОПКА. Субъекты КИИ с незначимыми объектами также будут обязаны информировать Национальный координационный центр по компьютерным инцидентам в порядке, установленном нормативными правовыми актами ФСБ России.

И самое главное, не стоит забывать об уголовной ответственности, установленной статьей 274.1 Уголовного кодекса Российской Федерации от 13 июня 1996 г. № 63-ФЗ, которой охватываются абсолютно все объекты КИИ: значимые и незначимые.

Канал в Telegram

#КИИ