воскресенье, 20 мая 2018 г.

Субъект КИИ или не субъект? Вот в чем вопрос!


 
187-ФЗ "О безопасности КИИ" распространяется на субъектов КИИ и вступил в силу уже пол года назад, а на ключевой вопрос о принадлежности Организации к субъектам КИИ во многих случаях до сих пор нет однозначного ответа. Попробовал разобраться.
 
Кто же такие субъекты КИИ?
По определению из 187-ФЗ – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ (далее обобщенно - ИС), функционирующие в 12 сферах. ФСТЭК объединяет Энергетику и ТЭК в одну сферу, поэтому сфер 12, а не 13 (далее – указанные сферы), в 227-м приказе ФСТЭК это явно прописано и устно проговаривалось представителями ФСТЭК на конференциях.
Тут важно понимать и это следует из определения в законе, что к субъектам КИИ относятся не те Организации, которые работают в указанных сферах, как некоторые это интерпретируют, а те, которым принадлежат ИС, функционирующие в этих сферах (хотя, как мы дальше увидим, это почти одно и то же). Отдельно стоит отметить государственные органы и государственные учреждения. Бытует мнение, что все они являются субъектами КИИ. Но по определению (и частное мнение представителей ФСТЭК это подтверждает), государственные органы или государственные учреждения являются субъектами КИИ наравне с юридическими лицами лишь тогда, кода им на законных основаниях принадлежат ИС. Если у государственного органа или государственной организации нет таких ИС, то он или она не субъект КИИ.
Формально нигде в законодательстве или на каком-то ином (кроме понятийного) уровне не закреплено отнесение ИС к определенной сфере. Для себя на понятийном уровне выделил два подхода отнесения ИС к определенной сфере – косвенный и прямой:
Косвенный подход (он же подход ФСТЭК). ИС относится к определенной сфере в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности Организации в рамках рассматриваемой сферы. В этом случае, система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. В качестве примера можно рассмотреть систему продаж ЖД билетов и систему управления турникетами прохода пассажиров на ЖД платформы. Так, по функционалу система продаж ЖД билетов ничем не отличается от классической системы продаж билетов, например, в кинотеатре. А система управления турникетами прохода пассажиров на ЖД платформы работает аналогично системе управления турникетами в каком-нибудь бизнес-центре. Но при этом от работы системы продажи ЖД билетов и системы управления турникетами прохода пассажиров на ЖД платформы существенно зависит доступность транспортных услуг. Примеров таких систем может быть много, и вообще невозможно себе представить ситуацию, при которой Организация осуществляет деятельность в одной из сфер и при этом не имеет ни одной ИС, обеспечивающей реализацию процессов, в рамках этой деятельности, если только она не делает все на бумаге.
Прямой подход. ИС относится к определенной сфере в том случае, если она выполняет специализированные функции, явно относящиеся к данной сфере, т.е. является специализированной ИС в рассматриваемой сфере. При этом скорее всего эти специализированные функции и вообще отнесение самой ИС к сфере прописаны в проектной документации на систему (ТЗ, Паспорт и т.п.). Например, это может быть система централизации стрелок и сигналов на ЖД станциях. Тут вопросов о том относится данная система к транспортной сфере или нет – не возникает. И в документации на эту систему думаю можно явно найти этому подтверждение.
В итоге, в случае применения косвенного подхода, при определении принадлежности Организации к субъектам КИИ первостепенным становятся уже не ИС, а виды деятельности Организации в указанных сферах. И если Организация осуществляет виды деятельности, относящиеся к одной из указанных сфер, то автоматом найдутся ИС, явно или косвенно обеспечивающие реализацию процессов в рамках осуществления Организацией соответствующих видов деятельности. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ. По рекомендации ФСТЭК, если по ОКВЭД, лицензиям, уставным документам или иным источникам Организация попала в одну из указанных сфер (т.е. основные виды деятельности Организации осуществляются в указанных сферах), то очень велика вероятность (~100%) того, что у Организации есть системы, связанные (обеспечивающие выполнение) с основными видами деятельности и поэтому подпадающие под понятие «функционирующие в указанных сферах». Тут важно еще отметить, что у Организации не все лицензии или записи в ОКВЭД могут быть актуальными, т.к. некоторыми видами деятельности организация на текущий момент может и не заниматься (занималась раньше или на всякий случай когда-то прописала некоторые виды деятельности про запас). В этом случае по логике Организация не является субъектом КИИ, но у ФСТЭК по этому поводу могут возникнуть вопросы к Организации, кода регулятор увидит, что по ОКВЭД или лицензиям Организация занимается деятельностью, подпадающей под одну из сфер, но не предоставила результаты категорирования.
Если же ориентироваться на прямой подход, первостепенным становится определение наличия специализированных ИС, явно относящихся к определенной сфере. Если хотя бы одна такая ИС находится, то не зависимо от того подпадает Организация под одну из указанных сфер или нет, она становится субъектом КИИ. Т.е. возможна ситуация, когда Организация по ОКВЭД, лицензиям и уставным документам не подпадает ни под одну из сфер, но при этом владеет специализированными ИС, которые под эти сферы подпадают, в результате Организация автоматически становится субъектом КИИ. Тут тоже важно отметить ситуацию, когда Организация владеет специализированной ИС, функционирующей в определенной сфере, но по каким-то причинам не получила лицензии и/или не указала в уставных документах виды деятельности, отнесенные к сфере, в которой функционирует данная специализированная ИС. В этом случае, рекомендуется получить соответствующую лицензию и указать в уставных документах соответствующие виды деятельности (даже без привязки к 187-ФЗ), иначе это будет уже нарушением 99-ФЗ "О лицензировании отдельных видов деятельности". Также возможна и обратная ситуация, при которой организация подпадает под одну из сфер, но не имеет специализированных ИС, связанных с этой сферой и поэтому формально не является субъектом КИИ.
Посмотрим сначала, как на практике выглядит процесс определения видов деятельности Организации по ОКВЭД, Уставу и лицензиям, а затем попробуем разобраться во всех возможных вариантах определения принадлежности организации к субъектам КИИ.
Рассмотрим процесс определения видов деятельности на примере одной из Организаций сферы ЖД транспорта (не РЖД). Для определения видов деятельности данной Организации по ОКВЭД воспользуемся одним из публичных сервисов, который в том числе в качестве источника информации использует ЕГРЮЛ:  www.list-org.com.

Вводим  имя Организации или один из других доступных параметров. В ответ получаем следующий результат.

Видим, что, рассматриваемая Организация имеет вид деятельности, явно подпадающий в сферу Транспорта. При этом важно отметить, что данным и другими подобными ресурсами может и вполне возможно будет пользоваться ФСТЭК, особенно если учесть, что ресурс работает и в обратную сторону, т.е. если указать определенный вид деятельности, то можно найти все организации, которые эти виды деятельности осуществляют. В частности, если в поиске указать полученный на предыдущем шаге вид деятельности 49.10.1, то в качестве результата можно увидеть количество (67) и перечень всех Организаций, осуществляющих данный вид деятельности. 


Если же после просмотра информации по ОКВЭД еще остаются вопросы, переходим к просмотру лицензий, позволяющих осуществлять определенные виды деятельности. Сами лицензии или информация о них часто публикуются на официальном сайте Организации, собственно там я одну из лицензий и взял.


По лицензии так же видно, что деятельность Организации явно попадает в сферу Транспорта. Далее, для чистоты эксперимента смотрим в Устав Организации (тоже взят на официальном сайте Организации) и в очередной раз убеждаемся, что по осуществляемым видам деятельности Организация попадает в сферу Транспорт.

Рассмотрим теперь по очереди все возможные варианты, связанные с определением принадлежности Организации к субъектам КИИ.
Организация подпадает под указанные сферы и у нее есть специализированные ИС, функционирующие в указанных сферах.
В качестве примера возьмем РЖД, владеющей упомянутыми выше системами централизации стрелок и сигналов на ЖД станциях. РЖД однозначно подпадает по ОКВЭД, лицензиям и уставным документам под сферу транспорта. А указанные системы явно (и по прямому и по косвенному подходам) функционирует в указанных сферах. Таким образом, по обоим подходам, РЖД – субъект КИИ.


Организация подпадает под указанные сферы, но у нее нет специализированных ИС, функционирующих в указанных сферах
 В качестве примера возьмем другую Организацию в сфере ЖД транспорта. Данная организация так же, как и РЖД по ОКВЭД, лицензиям и уставным документам однозначно подпадает под сферу транспорта. При этом она не владеет подвижным составом, не управляет стрелками и сигналами на станциях и не оказывает непосредственно транспортные услуги, однако обеспечивают продажу билетов на пригородные электрички, а также управляет турникетами для прохода пассажиров на ЖД платформы с применением соответствующих систем, упомянутых выше. В этом случае по косвенному подходу, Организация подпадает под определение субъекта КИИ, а по прямому нет. В данном случае рекомендуется направлять официальный запрос во ФСТЭК на разъяснения. Именно так и поступила рассматриваемая в данном варианте Организация, отправив в запросе информацию о себе и двух ключевых системах, о которых идет речь выше. В ответ от ФСТЭК пришел неожиданно конкретный ответ о том, что в соответствии с такими-то пунктами 187-ФЗ указанные системы функционируют в сфере транспорта и поэтому Организация является субъектом КИИ, а ее системы объектами КИИ. Тут еще остается открытым вопрос о наличии у ФСТЭК полномочий на официальные разъяснения норм 187-ФЗ. Валерий Комаров делал об этом недавно отдельный пост. И хоть формально ФСТЭК на такие разъяснения не уполномочен, но по факту на официальные письма с запросами на разъяснения регулятор регулярно отвечает и проверки субъектов КИИ, владеющих значимыми объектами, тоже будет проводить ФСТЭК. Более того, на одной из конференций представитель ФСТЭК говорил о том, что если регулятор увидит массовое уклонение от 187-ФЗ (непризнание себя субъектом КИИ) и/или непредоставление в разумные сроки перечня объектов КИИ, подлежащих категорированию, то подготовит и внесет в правительство текст документа, на основании котором правительство потом выпустит соответствующее постановление о внесении изменений в КоАП, предусматривающее административное наказание для уклонистов и/или Организаций, затягивающих сроки предоставления перечня объектов КИИ. Правда по новой статье КоАП правоприменителем может стать и не ФСТЭК, но это уже совсем другая история.

Организация не подпадает под указанные сферы, но у нее есть специализированные ИС, функционирующих в указанных сферах
Чтобы не ходить далеко за примером, рассмотрим любой Водоканал, о котором уже многое говорилась. Суть в том, что по косвенному подходу, предлагаемому ФСТЭК, Водоканал не подпадает ни под одну из сфер. Делаются конечно некоторыми коллегами попытки подвести его по лицензиям под сферу химической промышленности, но я лично лицензий Водоканала, которые могли бы явно отнести Водоканал к сфере химической промышленности, не нашел. При этом у Водоканала есть специализированные ИС, связанные с процессом химической очистки воды и по прямому подходу подпадающие под понятие «функционирующие в указанных сферах». Получается, что по косвенному подходу Водоканал не подпадает под понятие субъекта КИИ, а по прямому – подпадает. Тут совет аналогичный – пишите письма во ФСТЭК или самостоятельно принимайте решение о том, что Вы субъект КИИ. Если же самостоятельно принять решение о том, что Вы не субъект КИИ, то в случае возможных компьютерных инцидентов, повлекших серьезные последствия, к Вам могут быть предприняты серьезные меры (какие – пока не понятно, но как говорится следствие разберется, возможно, что и по ст.274.1 УК).


Отдельно хотелось бы обратиться к регуляторам/законодателям с просьбой определить критерии отнесения ИС к определенной сфере, либо скорректировать определение субъекта КИИ в 187-ФЗ для более однозначного определения принадлежности Организации к субъектам КИИ.


Ну и в качестве выводов предлагается несколько советов Организациям, стоящим перед выбором - субъект КИИ или не субъект.
Вывод 1: Если по ОКВЭД, лицензиям, уставу и т.п. документам Вы относитесь к одной из сфер, то можете считать, что Вы субъект, даже если считаете, что у Вас нет специализированных систем, функционирующих в указанных сферах, (достаточно иметь обычные ИС, см.косвенный подход). Если все же сомневаетесь в этом – пишите письма во ФСТЭК.
Вывод 2: Если по ОКВЭД, лицензиям, уставу и т.п. подобным документам Вы не относитесь ни к одной из сфер, но есть специализированные ИС, по логике функционирующие в указанных сферах, не отсиживайтесь, пишите письма во ФСТЭК, чтобы хоть как-то застраховать себя на будущее.

Вывод 3: Если Вы подпадаете под 187-ФЗ, но не хотите признавать этого, в какой-то момент к Вам могут постучать (правда пока не совсем понятно какой регулятор) и попросить пересмотреть свой взгляд на этот вопрос. Ведь у регулятора есть все инструменты для этого (доступ к ОКВЭД, лицензиям, уставным документам). Лучше до этого не доводить.

Вывод 4: Актуализируйте свои лицензии и информацию об актуальных видах деятельности, которая попадает в уставные документы и ОКВЭД, особенно если эти виды деятельности подпадают под сферы из 187-ФЗ, но Вы считаете, что не являетесь субъектом КИИ, имея при этом лицензии и записи в уставных документах и ОКВЭД, относящие Вас к субъектам.

Вывод 5: Если Вы не доверяете мнению ФСТЭК, считая (не без основательно), что регулятор не уполномочен на разъяснения положений 187-ФЗ, можно направить в прокуратуру запрос о законной силе подобных разъяснений со стороны ФСТЭК. Или же можно сразу направить в прокуратору запрос с разъяснением по интересующему Вас вопросу по 187-ФЗ, хотя лично мне слабо верится в то, что прокуратура ответит на такой запрос в конструктивном ключе.


P.S.: Запись выступления Заместителя начальника управления ФСТЭК России Елены Торбенко на ТБ Форуме 2018 по теме категорирования объектов КИИ можно посмотреть здесь (про принадлежность хозяйствующего субъекта к субъектам КИИ – см. начиная с времени 3.15). Мою презентацию по особенностям реализации требований 187-ФЗ можно скачать отсюда (скриншоты выше взяты из нее). Презентации коллег о подходах и средствах защиты в разрезе КИИ можно скачать отсюда.