14.06.2021

КоАП для КИИ. Молчание — золото!

При рассмотрении КоАП выделяется один состав правонарушения, за который установлен максимальный начальный штраф должностного лица — 20 000, в два раза больше всех остальных правонарушений. Таким образом, государство явно демонстрирует, что считает информирование иностранных центров кибербезопасности наиболее опасным правонарушением.

Часть 1

Часть 2

Речь про ч.3 Статья 13.12.1. КоАП

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Начнем с российских реалий:Приказ №368 ФСБ позволяет субъекту КИИ самостоятельно определить способы передачи и ее необходимость между субъектами КИИ — Направление уведомлений и запросов осуществляется посредством почтовой, факсимильной, электронной или телефонной связи.Но, помните требование — 8. Одновременно с направлением информации о компьютерных инцидентах в рамках обмена субъекты критической информационной инфраструктуры информируют об этом НКЦКИ.Важно: приказ не разделяет ЗОКИИ и НОКИИ. У вас НОКИИ и есть 24 часа на информирование НКЦКИ, вы отправили информацию в НКЦКИ через 22 часа, но ранее, скажем через 3 часа, уведомили другого субъекта КИИ из состава вашего холдинга о компьютерном инциденте — нарушили приказ ФСБ №368 и вас могут оштрафовать.Замечу, что Приказ ФСБ №368 не регулирует обмен информации о компьютерном инциденте между субъектом КИИ и иными российскими организациями (не субъектами КИИ).
Теперь о самом не предсказуемом.Про обмен с иностранными организациями:

НКЦКИ разъясняет кто относится к таким организациям и в каких случаях передача информации о компьютерном инциденте не нарушает приказ ФСБ:

уполномоченные органы иностранных государств, осуществляющие деятельность в области реагирования на компьютерные инциденты;
иностранные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
международные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
международные неправительственные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты.

С такими иностранными (международными) организациями субъекты КИИ должны взаимодействовать через НКЦКИ, за исключением случаев, когда прямой обмен между субъектом КИИ и такой организацией предусмотрен международным договором Российской Федерации.

Под категорию «Обращение в иностранную (международную) организацию» не подпадают те уведомления со сведениями о компьютерных инцидентах, которые субъект КИИ направляет в какую-либо внешнюю управляющую структуру (вышестоящую иностранную организацию) в рамках ведения общей экономической и хозяйственной деятельности.

Вопросы:

1. Взаимодействие с техподдержкой иностранного производителя оборудования или программного обеспечения из состава объекта КИИ при ликвидации последствий компьютерной атаки наказуемо?

Я сейчас не беру полное определение компьютерного инцидента в 187-ФЗ, конкретизируем под компьютерную атаку. Общей экономической и хозяйственной деятельности у субъекта с ними нет. Получается, что если иностранный производитель кроме основной деятельности имеет подразделение, оказывающее услуги по киберзащите, то только через НКЦКИ? А производители средств защиты информации однозначно под запретом?

2. Если представитель субъекта КИИ на международной конференции по кибербезопасности приведет пример реального компьютерного инцидента, то штраф? Надо ли направлять на согласование в НКЦКИ доклады российских представителей?

3. Наказуема ли публикация на сайте субъекта КИИ информационного сообщения о компьютерном инциденте? Сеть то международного обмена информации. И не думайте что это слишком преувеличено, ФСТЭК уже пыталась оштрафовать за подобное ранее:

Постановление № 5-318/2017 от 23 августа 2017 г. по делу № 5-318/2017

Как указано в протоколе об административном правонарушении, вынесенном *** консультантом отдела Управления ФСТЭК России по Уральскому федеральному округу, *** Белкин Д.Ю. допустил размещение диссертации в сети «Интернет» на официальном сайте «Российского химико-технологического университета им Д.И. Менделеева» www.muctr.ru, содержащей информацию, в отношении которой установлен экспортный контроль, и подпадающей под действие Списка ядерных материалов оборудования, специальных неядерных материалов и соответствующих технологий, утвержденного Указом Президента Российской Федерации от 14.02.1996 № 202, без специального разрешения (лицензии) ФСТЭК России, чем нарушил положения ст. 30 Федерального закона от 18.07.1999 № 183-ФЗ «Об экспортном контроле».

Тогда удалось отбиться в суде:

Однако доказательств того, что Белкиным Д.Ю. при размещении на сайте российского юридического лица в домене «ru» осуществлена внешэкономическая операция, в результате которой подлежащая экспортному контролю информация передана иностранному лицу, не представлено.

Имеющийся в материалах дела в электронном виде перечень сетевых адресов, с которых осуществлен вход на сайт www.muctr.ru для ознакомления с диссертацией, не может являться доказательством осуществления Белкиным Д.Ю. внешэкономической деятельности, поскольку не содержит указаний о посещении сайта с диссертацией иностранными лицами.

А если на сайте субъекта КИИ будет просмотр с IP иностранного CERT?

Думаю что подобное развитие маловероятно, если уж только субъект КИИ не разместит очень подробный отчет о компьютерном инциденте на сайте. Если иолько материалы публикации на сайте субъекта КИИ не попадут в аналитический дайджест по кибербезопасности иностранной компании, а хуже всего — если НКЦКИ получит бюллетень с иностранного СERT по такому инциденту.

4. Приказ ФСБ позволяет обмен информацией о компьютерных инцидентах между субъектами КИИ по эл.почте. А если почта @gmail для примера? У нас ведь уже есть уголовный приговор по ст.274.1 УК РФ с формулировкой приговора которая после отправки на личный почтовый ящик сохранилась в памяти облачного хранилища компании «Google» зарегистрированной в США.. причинило вред в виде угрозы нарушения целостности сети связи ПАО «Ростелеком», вследствие прекращения функционирования телекоммуникационного оборудования в результате разрушающих функционирование телекоммуникационного оборудования в результате разрушающих физических или информационных воздействий..

Напомню, что авторы КоАП прямо указывали обоснование штрафа для данного правонарушения — При обмене информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации с нарушением соответствующего порядка возможно раскрытие технической информации ограниченного доступа о критической информационной инфраструктуре Российской Федерации, что может привести к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства.

P.S. В связи с вступлением в силу нового КоАП для субъектов КИИ, создал отдельный раздел блога Административная ответственность субъекта КИИ на главной странице блога.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Автор: Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"

Комментарии: