Объект КИИ или не объект? Еще один извечный вопрос!
В прошлом посте мы рассмотрели одно
из двух ключевых понятий законодательства о КИИ – понятие субъекта КИИ. В этом
же остановимся на не менее важном понятии – объекте КИИ, от правильного
понимания которого как дальше увидим будет зависеть вся дальнейшая стратегия
реализации требований 187-ФЗ.
Начнем, как и в прошлый раз с
определений.
определений.
По 187-ФЗ:
- «Объекты КИИ — ИС, ИТС, АСУ ТП
субъектов КИИ». - «Категорирование ОКИИ представляет
собой установление соответствия ОКИИ критериям значимости и показателям их
значений, присвоение ему одной из категорий значимости, проверку сведений
о результатах ее присвоения».
По 127-ПП:
- «Категорированию подлежат ОКИИ,
которые обеспечивают управленческие, технологические, производственные,
финансово-экономические и (или) иные процессы в рамках выполнения функций
(полномочий) или осуществления видов деятельности субъектов КИИ».
И тут,
возникает два ключевых вопроса:
возникает два ключевых вопроса:
-
Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
-
Все ли ОКИИ
подлежат категорированию?
Давайте
разбираться.
разбираться.
Как видим, по
определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно — ИС)
субъекта КИИ, в том числе никак не влияющие на
критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно — ИС)
субъекта КИИ, в том числе никак не влияющие на
критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При
этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в
законе ничего не сказано про критические процессы и их обеспечение
категоризируемыми ОКИИ.
этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в
законе ничего не сказано про критические процессы и их обеспечение
категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация,
согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают
критические процессы субъекта в рамках его основной деятельности.
согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают
критические процессы субъекта в рамках его основной деятельности.
По этому поводу
есть два мнения и соответственно два подхода к категоризации, не противоречащие
законодательству:
есть два мнения и соответственно два подхода к категоризации, не противоречащие
законодательству:
- Категоризировать нужно все ОКИИ
согласно формулировке в 187-ФЗ - Категоризировать нужно только те ОКИИ,
которые обеспечивают критические процессы, согласно формулировке в 127-ПП
В первом случае
в составе сведений по результатам категорирования во ФСТЭК передается
информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и
игровых ИС).
в составе сведений по результатам категорирования во ФСТЭК передается
информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и
игровых ИС).
Во втором
случае во ФСТЭК передается информация только об объектах, обеспечивающих
критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не
подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но
ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в
ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться,
потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты
делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие
категорированию и не подлежащие категорированию.
случае во ФСТЭК передается информация только об объектах, обеспечивающих
критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не
подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но
ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в
ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться,
потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты
делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие
категорированию и не подлежащие категорированию.
На самом деле
есть еще и третий вариант, который отходит от текущих формулировок в законе, но
на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата КИИ 187-ФЗ — Айгиза Сафиуллина, данный вариант был озвучен
представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно
конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется
на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают
критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни
ФСТЭК, ни ФСБ!
есть еще и третий вариант, который отходит от текущих формулировок в законе, но
на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата КИИ 187-ФЗ — Айгиза Сафиуллина, данный вариант был озвучен
представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно
конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется
на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают
критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни
ФСТЭК, ни ФСБ!
При таком
подходе все встает на свои места и само законодательство начинает играть новыми
логичными красками, в результате чего субъект имеет следующую стратегию
дальнейшего поведения:
подходе все встает на свои места и само законодательство начинает играть новыми
логичными красками, в результате чего субъект имеет следующую стратегию
дальнейшего поведения:
- только ИС, обеспечивающие
критические процессы субъекта (и только они) признаются ОКИИ - только из этих ИС составляется
перечень ОКИИ, подлежащих категорированию - только эти ИС подлежат
категорированию - только об этих ИС передается
информация во ФСТЭК по результатам категорирования - только о компьютерных инцидентах
на этих ИС передается информация в ГосСОПКА - только за компьютерные инциденты
на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все весьма
логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА
в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА
в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
Все три
описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.
описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.
P.S.: В следующем посте обсудим особенности категорирования ОКИИ.
Источник — Блог Павла Луцика «Информационная безопасность на 360°».
