В прошлом посте мы рассмотрели одно из двух ключевых понятий законодательства о КИИ – понятие субъекта КИИ. В этом же остановимся на не менее важном понятии – объекте КИИ, от правильного понимания которого как дальше увидим будет зависеть вся дальнейшая стратегия реализации требований 187-ФЗ.
Начнем, как и в прошлый раз с
определений.
По 187-ФЗ:
- «Объекты КИИ - ИС, ИТС, АСУ ТП субъектов КИИ».
- «Категорирование ОКИИ представляет собой установление соответствия ОКИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
По 127-ПП:
- «Категорированию подлежат ОКИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ».
И тут,
возникает два ключевых вопроса:
- Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
- Все ли ОКИИ подлежат категорированию?
Давайте
разбираться.
Как видим, по
определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно - ИС)
субъекта КИИ, в том числе никак не влияющие на
критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При
этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в
законе ничего не сказано про критические процессы и их обеспечение
категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация,
согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают
критические процессы субъекта в рамках его основной деятельности.
По этому поводу
есть два мнения и соответственно два подхода к категоризации, не противоречащие
законодательству:
- Категоризировать нужно все ОКИИ согласно формулировке в 187-ФЗ
- Категоризировать нужно только те ОКИИ, которые обеспечивают критические процессы, согласно формулировке в 127-ПП
В первом случае
в составе сведений по результатам категорирования во ФСТЭК передается
информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и
игровых ИС).
Во втором
случае во ФСТЭК передается информация только об объектах, обеспечивающих
критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не
подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но
ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в
ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться,
потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты
делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие
категорированию и не подлежащие категорированию.
На самом деле
есть еще и третий вариант, который отходит от текущих формулировок в законе, но
на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата "КИИ 187-ФЗ" - Айгиза Сафиуллина, данный вариант был озвучен
представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно
конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется
на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают
критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни
ФСТЭК, ни ФСБ!
При таком
подходе все встает на свои места и само законодательство начинает играть новыми
логичными красками, в результате чего субъект имеет следующую стратегию
дальнейшего поведения:
- только ИС, обеспечивающие критические процессы субъекта (и только они) признаются ОКИИ
- только из этих ИС составляется перечень ОКИИ, подлежащих категорированию
- только эти ИС подлежат категорированию
- только об этих ИС передается информация во ФСТЭК по результатам категорирования
- только о компьютерных инцидентах на этих ИС передается информация в ГосСОПКА
- только за компьютерные инциденты на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все весьма
логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА
в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
Все три
описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.
P.S.: В следующем посте обсудим особенности категорирования ОКИИ.
Комментариев нет:
Отправить комментарий