В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
В чем особенности правового статуса субъекта критической информационной инфраструктуры?
В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации":
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Таким образом, субъекты критической информационной инфраструктуры (далее – субъект КИИ), по мнению автора, можно разделить на два вида.
Им необходимо одновременно соответствовать трем критериям:
Им необходимо одновременно удовлетворять двум критериям:
Таким образом, вопреки распространенному мнению, далеко не каждая организация является субъектом КИИ.
Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, среди специалистов-практиков в области информационной безопасности ведется достаточно большое количество споров о классификации объектов КИИ.
По мнению автора, объекты КИИ целесообразно подразделить на два вида – "значимый" и "незначимый", а значимые объекты – на три категории (в соответствии с ч. 3 ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"): самая высокая категория – первая, самая низкая – третья.
От "величины" категории значимого объекта КИИ зависит набор организационных и технических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информации, последствиями которых может быть прекращение или нарушение функционирования объекта. Подход, ставший уже стандартным и аналогичный требованиям к информационным системам персональных данных (приказы ФСТЭК России № 17 и 21) и автоматизированным системам управления технологическими процессами (приказ ФСТЭК России № 31). При этом следует отметить, что для информационных систем (информационных систем персональных данных), операторы которых традиционно уделяли первостепенное значение обеспечению конфиденциальности информации, равное значение приобретает обеспечение ее целостности и доступности.
Кроме того, от категории значимого объекта КИИ зависит выбор мер, направленных на нейтрализацию действий возможного нарушителя. Так, п. 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации1 предусматривает, что выбранные и реализованные в значимом объекте меры по обеспечению безопасности как минимум должны обеспечивать:
Потенциал нарушителя определяется в ходе оценки его возможностей (потенциала), проводимой при анализе угроз безопасности информации.
Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, которые планируются к утверждению Правительством Российской Федерации. Проект указанного постановления уже доступен в любой справочно-правовой системе. По мнению автора, в рамках указанной статьи нет смысла подробно разбирать каждый из критериев, рассмотрим лишь некоторые из них:
Категорирование объектов КИИ осуществляется субъектами КИИ. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы (т.е. по сути – любые бизнес-процессы) в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.
В соответствии с ч. 4 ст. 17 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" субъекты КИИ присваивают категорию объекту КИИ, опираясь на критерии значимости и показатели их значений, руководствуясь порядком осуществления категорирования. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
Процедура категорирования включает следующие этапы:
1. Создание комиссии по категорированию, в составе:
2. Формирование перечня объектов КИИ, подлежащих категорированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России (п. 15 проекта постановления Правительства РФ "Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования"). Максимальный срок категорирования объектов критической информационной инфраструктуры не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов критической информационной инфраструктуры, подлежащих категорированию.
3. Осуществление категорирования объектов КИИ в соответствии с планом и составление актов категорирования для каждого из объектов. Акт категорирования подписывается членами комиссии и утверждается руководителем субъекта КИИ.
4. Направление сведений о результатах присвоения объекту (объектам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему такой категорий во ФСТЭК России, в 10-дневный срок со дня утверждения акта категорирования.
5. Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России после получения сведений о результатах категорирования от субъекта КИИ обязан в течение 30 дней проверить правильность категорирования и при выявлении нарушений возвратить направленный документ субъекту КИИ для исправления.
Субъект КИИ будет обязан приступить к категорированию с момента вступления в силу постановления Правительства РФ "Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования" и в течение шести месяцев согласовать со ФСТЭК России перечень объектов КИИ, подлежащих категорированию, а также сроки проведения их категорирования, а затем в течение одного года провести категорирование объектов КИИ и направить утвержденные акты во ФСТЭК.
В случае непредставления субъектом КИИ сведений о результатах категорирования объекта критической информационной инфраструктуры ФСТЭК России направляет в адрес указанного субъекта требование о необходимости соблюдения положений ст. 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (ч. 11 ст. 7 соответствующего федерального закона).
Невыполнение указанного требования влечет административную ответственность по ст. 19.4 Кодекса об административных правонарушениях Российской Федерации. Помимо этого, само по себе непредоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административного правонарушения, предусмотренного ст. 19.7 Кодекса об административных правонарушениях Российской Федерации.
Таким образом, с учетом изложенного, автор не рекомендует пренебрегать исполнением требований Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2018