Перспективы отнесения комплексов ИТСОТБ к объектам критической информационной инфраструктуры
Термин «критическая информационная инфраструктура» трактуется в нормативных правовых актах хоть и недвусмысленно, но довольно размыто и не дает однозначного представления о том, что имеется в виду. Это порождает закономерные вопросы, которые рассмотрим в данной статье.
Павел Боченков, начальник отдела проектирования и сертификации объектов транспортной безопасности Управления транспортной безопасности ФГУП «Администрация гражданских аэропортов (аэродромов)»
В 2013 году Президентом Российской Федерации утверждены основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, где сказано, что критическая информационная инфраструктура Российской Федерации (КИИ) – совокупность автоматизированных систем управления критически важного объекта и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий.
В Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) сказано, что КИИ – это объекты КИИ, а также сети электросвязи, используемые для организации их взаимодействия.
Трансформация понятия
С началом действия 187-ФЗ термин «КИИ» изменился, была разорвана связь с определением «совокупность автоматизированных систем управления и их сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка».
Вместе с тем были введены понятия «объект КИИ» и «субъект КИИ». Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. В свою очередь, к субъектам КИИ отнесены те, кому такие объекты принадлежат, и (или) те, кто обеспечивает взаимодействие таких объектов. Субъектом выступают как органы власти, государственные учреждения, так и частные компании и индивидуальные предприниматели.
Термин «КИИ» сократился, но расширились его полномочия, ограниченные только сферой деятельности: здравоохранения, науки, транспорта, связи, энергетики, банковской сферы и иных сфер финансового рынка, топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Теперь под «КИИ» понимается не совокупность автоматизированных систем управления и их сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, а все информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления органов власти и всех организаций любых организационно-правовых форм, которые ими владеют.
Актуальность проблематики
Если рассматривать транспортный комплекс, можно ли говорить, что обеспечение транспортной безопасности с использованием технических средств охраны (ТСО) попадает в сферу действия закона, так как ТСО объекта транспортной инфраструктуры (ОТИ) могут являться частью КИИ государства и поэтому должны быть категорированы?
Любой современный комплекс ТСО является аппаратно-программным комплексом, в основе которого используются оборудование, управляемое соответствующим программным обеспечением. При этом связи между элементами комплекса строятся на вычислительных сетях, как локальных, так и глобальных, в том числе с использованием сети Интернет.
Все это указывает на то, что тема информационной безопасности актуальна для комплексов инженерно-технических средств обеспечения транспортной безопасности (ИТСОТБ) ОТИ и становится все более важной с их развитием.
Сравнение формулировок
В соответствии с п. 7 ст. 2 187-ФЗ к объектам КИИ относятся информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ).
В п. 1 ст. 2 187-ФЗ дано определение АСУ: «автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами».
Таким образом, формально комплекс ИТСОТБ не попадает под данное определение, поскольку он является автоматизированной системой управления безопасностью ОТИ.
При этом определения ИС и ИТКС в 187-ФЗ отсутствуют. Указанные определения приведены в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
«информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (пп. 3, ст. 2);
«информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники» (пп. 4, ст. 2).
Если следовать данным определениям, практически любой современный комплекс ИТСОТБ содержит ИС и ИТКС и может быть отнесен к объектам КИИ.
Вместе с тем понятие объекта КИИ уточняется в Постановлении Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП РФ 127). Данный документ также регулирует присвоение объекту КИИ категории значимости и содержит перечень показателей критериев значимости объектов КИИ РФ и их значений.
В соответствии с Правилами категорирования объектов КИИ РФ категорирование объектов КИИ осуществляет субъект КИИ, который определяет категорию значимости объекта КИИ на основании показателей критериев значимости объекта КИИ и их значений.
Согласно п. 5б вышеуказанных Правил категорирование включает в себя выявление на объекте (в нашем случае – на ОТИ) «критических процессов», а именно «выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка».
Таким образом, на основе выявленных критических процессов определяются объекты КИИ, которые «обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов» (п. 5в Правил категорирования объектов КИИ РФ).
Комплекс ИТСОТБ, установленный на ОТИ в целях осуществления транспортной безопасности, представляет собой технические средства охраны и видеонаблюдения (датчики, контроллеры, видеокамеры и др.). Несмотря на сильное развитие в последние годы их интеллектуальной составляющей, комплекс ИТСОТБ, по сути, по-прежнему остается вспомогательным компонентом объекта, как правило, имеющим свою внутреннюю информационную систему и выделенную информационно-телекоммуникационную сеть, не относящиеся к критическим процессам, определение которых приведено выше.
Открытый вопрос
В случае принятия решения об отнесении ИТСОТБ к значимым объектам критической информационной инфраструктуры и учитывая, что подлежащие категорированию объекты могут находиться на праве собственности, аренды или на ином законном основании одновременно у нескольких организаций различных организационно-правовых форм, может возникнуть ряд вопросов, на которые в действующем законодательстве нет ответов.
Какая организация и в каком порядке должна принимать решение о включении ИТСОТБ в перечень значимых объектов КИИ ОТИ?
Согласованию подлежит перечень типовых объектов, подлежащих включению в реестр значимых объектов КИИ или должен подаваться перечень конкретных объектов, относящихся к конкретному ОТИ?
Какие подведомственные Минтрансу России службы, агентства, предприятия, учреждения, организации и в каком порядке должны обращаться за согласованием перечня объектов КИИ с учетом приведенного в п. 8 ст. 2 187-ФЗ понятия «субъекта КИИ»?
В таком случае за согласованием могут обращаться федеральные органы, осуществляющие полномочия собственника, организации (арендаторы) объектов федерального имущества и балансодержатели. Таким образом, на сегодняшний день вопрос отнесения комплекса ИТСОТБ к объектам КИИ остается открытым.
Решение данного вопроса требует разработки нормативного акта или методического документа, детализирующего процедуру категорирования объектов КИИ организаций транспортной комплекса в соответствии с критериями, установленными ПП РФ 127, в котором могут быть перечислены и рассмотрены типовые примеры объектов КИИ применительно к ОТИ.
Стоит отметить, что в настоящее время действует приказ Минтранса России от 14.12.2018 № 449 «О создании Комиссии Министерства транспорта Российской Федерации по согласованию перечней объектов критической информационной инфраструктуры подведомственных Минтрансу России службы, агентств, предприятий, учреждений и организаций». Результаты работы указанной комиссии должны дать ответы на обозначенные выше вопросы.
Статья опубликована в новом номере журнала «Транспортная безопасность и технологии» (№2, июнь 2021 г.).