Субъект КИИ или не субъект? Вот в чем вопрос!

 
187-ФЗ "О безопасности КИИ" распространяется на субъектов КИИ и вступил в силу уже пол года назад, а на ключевой вопрос о принадлежности Организации к субъектам КИИ во многих случаях до сих пор нет однозначного ответа. Попробовал разобраться.

 

Кто же такие субъекты КИИ?

По определению из 187-ФЗ – это государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ (далее обобщенно - ИС), функционирующие в 12 сферах. ФСТЭК объединяет Энергетику и ТЭК в одну сферу, поэтому сфер 12, а не 13 (далее – указанные сферы), в 227-м приказе ФСТЭК это явно прописано и устно проговаривалось представителями ФСТЭК на конференциях.

Тут важно понимать и это следует из определения в законе, что к субъектам КИИ относятся не те Организации, которые работают в указанных сферах, как некоторые это интерпретируют, а те, которым принадлежат ИС, функционирующие в этих сферах (хотя, как мы дальше увидим, это почти одно и то же). Отдельно стоит отметить государственные органы и государственные учреждения. Бытует мнение, что все они являются субъектами КИИ. Но по определению (и частное мнение представителей ФСТЭК это подтверждает), государственные органы или государственные учреждения являются субъектами КИИ наравне с юридическими лицами лишь тогда, кода им на законных основаниях принадлежат ИС. Если у государственного органа или государственной организации нет таких ИС, то он или она не субъект КИИ.

Формально нигде в законодательстве или на каком-то ином (кроме понятийного) уровне не закреплено отнесение ИС к определенной сфере. Для себя на понятийном уровне выделил два подхода отнесения ИС к определенной сфере – косвенный и прямой:

Косвенный подход (он же подход ФСТЭК). ИС относится к определенной сфере в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности Организации в рамках рассматриваемой сферы. В этом случае, система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. В качестве примера можно рассмотреть систему продаж ЖД билетов и систему управления турникетами прохода пассажиров на ЖД платформы. Так, по функционалу система продаж ЖД билетов ничем не отличается от классической системы продаж билетов, например, в кинотеатре. А система управления турникетами прохода пассажиров на ЖД платформы работает аналогично системе управления турникетами в каком-нибудь бизнес-центре. Но при этом от работы системы продажи ЖД билетов и системы управления турникетами прохода пассажиров на ЖД платформы существенно зависит доступность транспортных услуг. Примеров таких систем может быть много, и вообще невозможно себе представить ситуацию, при которой Организация осуществляет деятельность в одной из сфер и при этом не имеет ни одной ИС, обеспечивающей реализацию процессов, в рамках этой деятельности, если только она не делает все на бумаге.

Прямой подход. ИС относится к определенной сфере в том случае, если она выполняет специализированные функции, явно относящиеся к данной сфере, т.е. является специализированной ИС в рассматриваемой сфере. При этом скорее всего эти специализированные функции и вообще отнесение самой ИС к сфере прописаны в проектной документации на систему (ТЗ, Паспорт и т.п.). Например, это может быть система централизации стрелок и сигналов на ЖД станциях. Тут вопросов о том относится данная система к транспортной сфере или нет – не возникает. И в документации на эту систему думаю можно явно найти этому подтверждение.

В итоге, в случае применения косвенного подхода, при определении принадлежности Организации к субъектам КИИ первостепенным становятся уже не ИС, а виды деятельности Организации в указанных сферах. И если Организация осуществляет виды деятельности, относящиеся к одной из указанных сфер, то автоматом найдутся ИС, явно или косвенно обеспечивающие реализацию процессов в рамках осуществления Организацией соответствующих видов деятельности. Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности Организации к субъектам КИИ. По рекомендации ФСТЭК, если по ОКВЭД, лицензиям, уставным документам или иным источникам Организация попала в одну из указанных сфер (т.е. основные виды деятельности Организации осуществляются в указанных сферах), то очень велика вероятность (~100%) того, что у Организации есть системы, связанные (обеспечивающие выполнение) с основными видами деятельности и поэтому подпадающие под понятие «функционирующие в указанных сферах». Тут важно еще отметить, что у Организации не все лицензии или записи в ОКВЭД могут быть актуальными, т.к. некоторыми видами деятельности организация на текущий момент может и не заниматься (занималась раньше или на всякий случай когда-то прописала некоторые виды деятельности про запас). В этом случае по логике Организация не является субъектом КИИ, но у ФСТЭК по этому поводу могут возникнуть вопросы к Организации, кода регулятор увидит, что по ОКВЭД или лицензиям Организация занимается деятельностью, подпадающей под одну из сфер, но не предоставила результаты категорирования.

Если же ориентироваться на прямой подход, первостепенным становится определение наличия специализированных ИС, явно относящихся к определенной сфере. Если хотя бы одна такая ИС находится, то не зависимо от того подпадает Организация под одну из указанных сфер или нет, она становится субъектом КИИ. Т.е. возможна ситуация, когда Организация по ОКВЭД, лицензиям и уставным документам не подпадает ни под одну из сфер, но при этом владеет специализированными ИС, которые под эти сферы подпадают, в результате Организация автоматически становится субъектом КИИ. Тут тоже важно отметить ситуацию, когда Организация владеет специализированной ИС, функционирующей в определенной сфере, но по каким-то причинам не получила лицензии и/или не указала в уставных документах виды деятельности, отнесенные к сфере, в которой функционирует данная специализированная ИС. В этом случае, рекомендуется получить соответствующую лицензию и указать в уставных документах соответствующие виды деятельности (даже без привязки к 187-ФЗ), иначе это будет уже нарушением 99-ФЗ "О лицензировании отдельных видов деятельности". Также возможна и обратная ситуация, при которой организация подпадает под одну из сфер, но не имеет специализированных ИС, связанных с этой сферой и поэтому формально не является субъектом КИИ.

Посмотрим сначала, как на практике выглядит процесс определения видов деятельности Организации по ОКВЭД, Уставу и лицензиям, а затем попробуем разобраться во всех возможных вариантах определения принадлежности организации к субъектам КИИ.

Рассмотрим процесс определения видов деятельности на примере одной из Организаций сферы ЖД транспорта (не РЖД). Для определения видов деятельности данной Организации по ОКВЭД воспользуемся одним из публичных сервисов, который в том числе в качестве источника информации использует ЕГРЮЛ:  www.list-org.com.

Вводим  имя Организации или один из других доступных параметров. В ответ получаем следующий результат.

Видим, что, рассматриваемая Организация имеет вид деятельности, явно подпадающий в сферу Транспорта. При этом важно отметить, что данным и другими подобными ресурсами может и вполне возможно будет пользоваться ФСТЭК, особенно если учесть, что ресурс работает и в обратную сторону, т.е. если указать определенный вид деятельности, то можно найти все организации, которые эти виды деятельности осуществляют. В частности, если в поиске указать полученный на предыдущем шаге вид деятельности 49.10.1, то в качестве результата можно увидеть количество (67) и перечень всех Организаций, осуществляющих данный вид деятельности. 

Если же после просмотра информации по ОКВЭД еще остаются вопросы, переходим к просмотру лицензий, позволяющих осуществлять определенные виды деятельности. Сами лицензии или информация о них часто публикуются на официальном сайте Организации, собственно там я одну из лицензий и взял.

По лицензии так же видно, что деятельность Организации явно попадает в сферу Транспорта. Далее, для чистоты эксперимента смотрим в Устав Организации (тоже взят на официальном сайте Организации) и в очередной раз убеждаемся, что по осуществляемым видам деятельности Организация попадает в сферу Транспорт.

Рассмотрим теперь по очереди все возможные варианты, связанные с определением принадлежности Организации к субъектам КИИ.

Организация подпадает под указанные сферы и у нее есть специализированные ИС, функционирующие в указанных сферах.
В качестве примера возьмем РЖД, владеющей упомянутыми выше системами централизации стрелок и сигналов на ЖД станциях. РЖД однозначно подпадает по ОКВЭД, лицензиям и уставным документам под сферу транспорта. А указанные системы явно (и по прямому и по косвенному подходам) функционирует в указанных сферах. Таким образом, по обоим подходам, РЖД – субъект КИИ.


Организация подпадает под указанные сферы, но у нее нет специализированных ИС, функционирующих в указанных сферах
 В качестве примера возьмем другую Организацию в сфере ЖД транспорта. Данная организация так же, как и РЖД по ОКВЭД, лицензиям и уставным документам однозначно подпадает под сферу транспорта. При этом она не владеет подвижным составом, не управляет стрелками и сигналами на станциях и не оказывает непосредственно транспортные услуги, однако обеспечивают продажу билетов на пригородные электрички, а также управляет турникетами для прохода пассажиров на ЖД платформы с применением соответствующих систем, упомянутых выше. В этом случае по косвенному подходу, Организация подпадает под определение субъекта КИИ, а по прямому нет. В данном случае рекомендуется направлять официальный запрос во ФСТЭК на разъяснения. Именно так и поступила рассматриваемая в данном варианте Организация, отправив в запросе информацию о себе и двух ключевых системах, о которых идет речь выше. В ответ от ФСТЭК пришел неожиданно конкретный ответ о том, что в соответствии с такими-то пунктами 187-ФЗ указанные системы функционируют в сфере транспорта и поэтому Организация является субъектом КИИ, а ее системы объектами КИИ. Тут еще остается открытым вопрос о наличии у ФСТЭК полномочий на официальные разъяснения норм 187-ФЗ. Валерий Комаров делал об этом недавно отдельный пост. И хоть формально ФСТЭК на такие разъяснения не уполномочен, но по факту на официальные письма с запросами на разъяснения регулятор регулярно отвечает и проверки субъектов КИИ, владеющих значимыми объектами, тоже будет проводить ФСТЭК. Более того, на одной из конференций представитель ФСТЭК говорил о том, что если регулятор увидит массовое уклонение от 187-ФЗ (непризнание себя субъектом КИИ) и/или непредоставление в разумные сроки перечня объектов КИИ, подлежащих категорированию, то подготовит и внесет в правительство текст документа, на основании котором правительство потом выпустит соответствующее постановление о внесении изменений в КоАП, предусматривающее административное наказание для уклонистов и/или Организаций, затягивающих сроки предоставления перечня объектов КИИ. Правда по новой статье КоАП правоприменителем может стать и не ФСТЭК, но это уже совсем другая история.

Организация не подпадает под указанные сферы, но у нее есть специализированные ИС, функционирующих в указанных сферах
Чтобы не ходить далеко за примером, рассмотрим любой Водоканал, о котором уже многое говорилась. Суть в том, что по косвенному подходу, предлагаемому ФСТЭК, Водоканал не подпадает ни под одну из сфер. Делаются конечно некоторыми коллегами попытки подвести его по лицензиям под сферу химической промышленности, но я лично лицензий Водоканала, которые могли бы явно отнести Водоканал к сфере химической промышленности, не нашел. При этом у Водоканала есть специализированные ИС, связанные с процессом химической очистки воды и по прямому подходу подпадающие под понятие «функционирующие в указанных сферах». Получается, что по косвенному подходу Водоканал не подпадает под понятие субъекта КИИ, а по прямому – подпадает. Тут совет аналогичный – пишите письма во ФСТЭК или самостоятельно принимайте решение о том, что Вы субъект КИИ. Если же самостоятельно принять решение о том, что Вы не субъект КИИ, то в случае возможных компьютерных инцидентов, повлекших серьезные последствия, к Вам могут быть предприняты серьезные меры (какие – пока не понятно, но как говорится следствие разберется, возможно, что и по ст.274.1 УК).


Отдельно хотелось бы обратиться к регуляторам/законодателям с просьбой определить критерии отнесения ИС к определенной сфере, либо скорректировать определение субъекта КИИ в 187-ФЗ для более однозначного определения принадлежности Организации к субъектам КИИ.

Ну и в качестве выводов предлагается несколько советов Организациям, стоящим перед выбором - субъект КИИ или не субъект.

Вывод 1: Если по ОКВЭД, лицензиям, уставу и т.п. документам Вы относитесь к одной из сфер, то можете считать, что Вы субъект, даже если считаете, что у Вас нет специализированных систем, функционирующих в указанных сферах, (достаточно иметь обычные ИС, см.косвенный подход). Если все же сомневаетесь в этом – пишите письма во ФСТЭК.
Вывод 2: Если по ОКВЭД, лицензиям, уставу и т.п. подобным документам Вы не относитесь ни к одной из сфер, но есть специализированные ИС, по логике функционирующие в указанных сферах, не отсиживайтесь, пишите письма во ФСТЭК, чтобы хоть как-то застраховать себя на будущее.

Вывод 3: Если Вы подпадаете под 187-ФЗ, но не хотите признавать этого, в какой-то момент к Вам могут постучать (правда пока не совсем понятно какой регулятор) и попросить пересмотреть свой взгляд на этот вопрос. Ведь у регулятора есть все инструменты для этого (доступ к ОКВЭД, лицензиям, уставным документам). Лучше до этого не доводить.

Вывод 4: Актуализируйте свои лицензии и информацию об актуальных видах деятельности, которая попадает в уставные документы и ОКВЭД, особенно если эти виды деятельности подпадают под сферы из 187-ФЗ, но Вы считаете, что не являетесь субъектом КИИ, имея при этом лицензии и записи в уставных документах и ОКВЭД, относящие Вас к субъектам.

Вывод 5: Если Вы не доверяете мнению ФСТЭК, считая (не без основательно), что регулятор не уполномочен на разъяснения положений 187-ФЗ, можно направить в прокуратуру запрос о законной силе подобных разъяснений со стороны ФСТЭК. Или же можно сразу направить в прокуратору запрос с разъяснением по интересующему Вас вопросу по 187-ФЗ, хотя лично мне слабо верится в то, что прокуратура ответит на такой запрос в конструктивном ключе.

P.S.: Запись выступления Заместителя начальника управления ФСТЭК России Елены Торбенко на ТБ Форуме 2018 по теме категорирования объектов КИИ можно посмотреть здесь (про принадлежность хозяйствующего субъекта к субъектам КИИ – см. начиная с времени 3.15). Мою презентацию по особенностям реализации требований 187-ФЗ можно скачать отсюда (скриншоты выше взяты из нее). Презентации коллег о подходах и средствах защиты в разрезе КИИ можно скачать отсюда.

По следам секции "Безопасность КИИ: практические аспекты" на PHDays 8

Сегодня весьма продуктивно прошел первый день Форума PHDays, в рамках которого в том числе состоялась секция Безопасность КИИ: практические аспекты, вызвавшая живой интерес у присутствующих, по крайней мере, если судить по количеству заинтересованных лиц в зрительном зале. Секция продлилась 2,5 часа и включила в себя несколько выступлений и панельную дискуссию в том числе с участием представителя ФСБ (НКЦКИ). И в рамках выступлений и в рамках панельной дискуссии было озвучено довольно много любопытной информации, кроме этого несколько вопросов удалось обсудить с представителями ФСБ в кулуарах. В этом посте, так сказать по горячим следам, решил остановиться лишь на некоторых моментах.

Выступления

По поводу категорирования в крупных субъектах КИИ, имеющих разветвленную сеть территориальных подразделений

В нескольких докладах было озвучено, что в случае распределенной организации субъекта КИИ целесообразно провести предварительную методическую работа по категорированию в головной организации. Так, в центре целесообразно сформировать перечень всех территориальных подразделений, а затем бизнес-процессов и привязать их к территориальным подразделениям. После чего сформировать методические рекомендации по категорированию в том числе с описанием типизации объектов КИИ, если это возможно, разработать шаблоны документов (перечень объектов КИИ, подлежащих категорированию, акт категорирования, сведения, передаваемые во ФСТЭК по результатам категорирования). И далее не забыв про контрольную функцию Центра спустить данные наработки на территориальные подразделения (обкатав их предварительно на одном-двух подразделениях), которые в свою очередь должны будут убедиться, что перечень бизнес-процессов, спущенный сверху, актуален (при необходимости актуализировать), сформировать перечень объектов КИИ, подлежащих категорированию, осуществить моделирование угроз для объектов КИИ из данного перечня, провести категорирование и сформировать отчетные документы, на основе спущенных сверху шаблонов.

По поводу обязательности подключения к ГосСОПКА

В одном из выступлений было озвучено дословно, что «Необходимо развернуть специализированные системы взаимодействия с технической инфраструктурой НКЦКИ (ТИ НКЦКИ) (для значимых объектов КИИ ОБЯЗАТЕЛЬНО, остальным опционально)».

По поводу обязательности подключения к ТИ НКЦКИ ни в 187-ФЗ, ни в проектах приказов ФСБ ничего не сказано. Более того, в последней редакции проектов приказов (см. п. 3 документа с номером 18 в таблице) нет даже разделения на значимые объекты и не значимые, а просто говориться о том, что информация о компьютерных инцидентах, связанных с функционированием объектов КИИ передается в ГосСОПКА либо через техническую инфраструктуру НКЦКИ, либо через иные каналы связи (почта, эл.почта, телефон, факс).

Панельная дискуссия

О текущей ситуации с категорированием объектов КИИ.

Интер РАО. «Не всегда отраслевой регулятор может выступать локомотивом и снабжать подведомственные организации необходимыми методиками и инструкциями по категорированию, а также участвовать в составе комиссии по категорированию, как это предписывает 127-ПП. Так, например, Интер РАО не дождавшись реакции от отраслевого регулятора, приступил к работам самостоятельно. В итоге сам разработал методические рекомендации по категорированию, составил комиссию по категорированию, утвердив приказом и наделив ее участников необходимыми ролями. В настоящее время формируется перечень ОКИИ, подлежащих категорированию».

Мегафон. «В составе большой четверки сотовых операторов обсудили подход к разработке отраслевого стандарта по реализации требований 187-ФЗ (возможно имелось ввиду только часть требований, касающихся категорирования). Это целесообразным, т.к. у всех операторов объекты КИИ довольно типовые. Разработка стандарта ведется по согласованию и с участием обоих регуляторов. Таким образом правила игры согласовываются централизованно, на берегу, во избежание появления в дальнейшем зоопарка различных подходов и методик категорирования. В Мегафоне создан в начале года Центра Компетенций по защите КИИ, выделена штатная единица, которая занимается в структуре вопросами ИБ. Непосредственно в самом Мегафоне практически подписан приказ о создании комиссии по категорированию, определен единый подход к категорированию и сейчас идет обсуждение данного подхода. По срокам – до конца 2019 года планируется провести категорирование. К началу осени 2018 – разработать и утвердить отраслевой стандарт. До конца 2018 - сформировать по определенной в стандарте методике перечень объектов КИИ, подлежащих. И далее до конца 2019 года завершить категорирование. Из особенностей категорирования - у  Мегафона как и у всех сотовых операторов принципы построения сети сотовой связи являются одинаковыми, поэтому при создании системы защиты будут выделяться некие типовые доверенные зоны, которые будут соответствующим типовым образом категорироваться и далее по результатам категорирования и проведенного аудита будут соответствующим образом защищаться».

Газпромбанк.  «Требования по обеспечению ИБ для банков не новы. Уже довольно давно действует тот же СТО БР и другие регулирующие НПА в области обеспечения ИБ. В настоящее время Газпромбанк, как и многие другие банки озадачен вопросом корреляции требований СТО БР и 187-ФЗ. До начала активных действий по категорированию банки ждут от ЦБ, как от отраслевого регулятора, соответствующие четкие инструкции, методики и указания».

О подключении к ГосСОПКА

Мегафон. «Количество компьютерных инцидентов за 2017 год - несколько сот. Но опять же смотря что считать инцидентом. Пока это не до конца понятно. Так, например, недавно произошла авария – в течение двух часов было порвано оптоволокно в двух местах, которые друг друга резервируют, при этом произошла деградация качества услуг связи по нескольким регионам. В процессе расследования инцидента были привлечены представители ФСБ, которые на вопрос является ли данный инцидент компьютерным инцидентом ответить однозначно затруднились, хотя по логике случай вопиющий и вполне вероятно тщательно спланированный. Мегафон в настоящее время к технической инфраструктуре НКЦКИ не подключен, но в ближайшее время планирует это сделать».

НКЦКИ. «К ГосСОПКА на настоящий момент уже подключилось порядка полутора тысяч объектов (участников), с которыми организовано двухстороннее взаимодействие. Информация о найденных угрозах и уязвимостях шарится между всеми подключенными участниками. Изначально ГосСОПКА задумывалась не только для КИИ, а как система обмена соответствующей информацией для всех заинтересованных лиц. В 2017 году количества инцидентов, в расследовании которых принимал участие НКЦКИ, по сравнению с 2016 годом увеличилось в 5 раз. В абсолютных значениях, в 2017 году ФСБ приняло участие в расследовании порядка двухсот инцидентов, а также приняло меры по закрытию более 3000 вредоносных ресурсов.  Планируется разработка соответствующего документа (а точнее документ уже разработан, но пока в открытом доступе его нет), дающего разъяснения того, что считать инцидентом, без привязки к конкретным сферам, определенным в 187-ФЗ. Кроме этого уже существует документ, разработанный НКЦКИ, описывающий форматы передачи данных в ГосСОПКА и по запросу в НКЦКИ можно его получить. Перечень же информации, передаваемый в ГосСОПКА приведен в соответствующем проекте приказа ФСБ (см. п. 18), который в течением месяца должен быть утвержден и передан на регистрацию в Минюст. Есть отдельные исследователи, исследовательские организации и некоторые вендоры, которые поставляют в ГосСОПКА информацию о найденных уязвимостях еще до того, как эта информация будет опубликована публично. Далее данная информация также шарится между всеми участниками, подключенными к ГосСОПКА».

Из кулуарного общения с представителями ФСБ

Ожидаемый срок утверждения всех 6 проектов приказов ФСБ – конец июня 2018.

Кроме этого планируется разработка Типового положения о типовом Центре ГосСОПКА (отраслевыми или корпоративными центры ГосСОПКА больше не будут называться, т.к. их нет в 187-ФЗ). В этой связи Методические рекомендации по созданию корпоративных и отраслевых центров ГосСОПКА скорее всего станут неактуальными.

В проекте приказа ФСБ (см. п. 19) говорится о том, что для организации мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак с привлечением подразделений и должностных лиц ФСБ России субъектом КИИ, которому принадлежат значимые объекты КИИ, во взаимодействии с НКЦКИ разрабатывается, согласовывается с 8 Центром ФСБ и утверждается Регламент. Формат данного регламент планируется разработать ФСБ в обозримом будущем.