суббота, 2 июня 2018 г.

Объект КИИ или не объект? Еще один извечный вопрос!



В прошлом посте мы рассмотрели одно из двух ключевых понятий законодательства о КИИ – понятие субъекта КИИ. В этом же остановимся на не менее важном понятии – объекте КИИ, от правильного понимания которого как дальше увидим будет зависеть вся дальнейшая стратегия реализации требований 187-ФЗ.
Начнем, как и в прошлый раз с определений.
По 187-ФЗ:
  • «Объекты КИИ - ИС, ИТС, АСУ ТП субъектов КИИ».
  • «Категорирование ОКИИ представляет собой установление соответствия ОКИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
По 127-ПП:
  • «Категорированию подлежат ОКИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ».
И тут, возникает два ключевых вопроса:
  1. Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
  2. Все ли ОКИИ подлежат категорированию?
Давайте разбираться.
Как видим, по определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно - ИС) субъекта КИИ, в том числе никак не влияющие на критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в законе ничего не сказано про критические процессы и их обеспечение категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация, согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают критические процессы субъекта в рамках его основной деятельности.
По этому поводу есть два мнения и соответственно два подхода к категоризации, не противоречащие законодательству:
  1. Категоризировать нужно все ОКИИ согласно формулировке в 187-ФЗ
  2. Категоризировать нужно только те ОКИИ, которые обеспечивают критические процессы, согласно формулировке в 127-ПП
В первом случае в составе сведений по результатам категорирования во ФСТЭК передается информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и игровых ИС).
Во втором случае во ФСТЭК передается информация только об объектах, обеспечивающих критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться, потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие категорированию и не подлежащие категорированию.
На самом деле есть еще и третий вариант, который отходит от текущих формулировок в законе, но на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата "КИИ 187-ФЗ" - Айгиза Сафиуллина, данный вариант был озвучен представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни ФСТЭК, ни ФСБ!
При таком подходе все встает на свои места и само законодательство начинает играть новыми логичными красками, в результате чего субъект имеет следующую стратегию дальнейшего поведения:
  • только ИС, обеспечивающие критические процессы субъекта (и только они) признаются ОКИИ
  • только из этих ИС составляется перечень ОКИИ, подлежащих категорированию
  • только эти ИС подлежат категорированию
  • только об этих ИС передается информация во ФСТЭК по результатам категорирования
  • только о компьютерных инцидентах на этих ИС передается информация в ГосСОПКА
  • только за компьютерные инциденты на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все весьма логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
Все три описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.

P.S.: В следующем посте обсудим особенности категорирования ОКИИ.