187-ФЗ: как было бы правильно

1

Недавно на ФБ на странице «Кибербезопасность АСУ ТП» в комментариях к моему посту «187-ФЗ: споры не утихают» … состоялся такой диалог:

А. Лукацкий: Геннадий, напишите правильную по вашему мнению методику категорирования, - я обязуюсь ее передать в ЦА всем на радость. Или опять сошлетесь на то, что закон кривой и его надо менять целиком, а потому ничего делать по неверному закону вы не будете?

Я: Я могу написать правильную методику, в т. ч. и категорирования. Но категорирование – частный вопрос и не первый в списке, подлежащих ответу в свете выполнения 187-ФЗ, который, в свою очередь, не просто кривой, а серпантинистый и лабиринтиевый. Закон таким быть не должен. Закон должен быть понятен всем и каждому. А в этом «законе» поди, разберись. Чего термины и определения стоят? Вот с чего начинать надо! Что объект? Кто субъект? Что такое КИИ? Что такое значимый объект КИИ? Как можно категорировать, не зная, что такое объект и какие есть категории? «Значимый объект – объект, которому присвоена категория»?! Это что? Это даже не средневековый идеализм, это – доисторическая схоластика. Проще – позорище! А мне делать ничего и не нужно: не моя кафедра. 187-ФЗ, к счастью, на мою кафедру не распространяется. Это я так, по зову сердца. Мне истина дорога и за державу обидно.

А. Лукацкий: Да, спасибо. Я ждал ровно такого ответа

2

Подумав, я решил воспользоваться обещанием Алексея передать в загадочный ЦА правильную, с моей точки зрения, методику категорирования объектов КИИ (на радость им или на печаль – покажет время и, надеюсь, расскажет А.Лукацкий). Это не означает, что я отказываюсь от своих слов по поводу нынешней версии закона и вышедшего в его развитие постановления правительства. Категорировать объекты по этим документам невозможно по перечисленным в моем ответе А.Лукацкому причинам. Те определения, которые приведены в ст. 2 187-ФЗ, не «лезут ни в какие ворота». Чтобы не удлинять текст, я не буду разбирать все недостатки этих определений, но без некоторых пояснений не обойтись.

1. КИИ – не объекты, как это сказано в 187-ФЗ. Это – совокупность объектов, т.к. по словарному определению инфраструктура – это комплекс взаимосвязанных обслуживающих структур или объектов, составляющих и обеспечивающих основу функционирования системы. Это определение из той же серии – не всегда взаимосвязанных и непонятно кого обслуживающих, обеспечивающих основу – тоже бред, главное здесь то, что инфраструктура – это комплекс (правильнее – совокупность) структур и объектов.

2. Субъектами КИИ не могут быть ни гос. органы (кто бы ещё знал, что это), ни тем более юридические лица (ЮЛ) и индивидуальные предприниматели (ИП). КИИ есть часть инфраструктуры РФ, субъектом которой может быть только Президент РФ, в крайнем случае – Правительство РФ.

3. Объектами КИИ не могут быть информационные системы, информационно-телекоммуникационный сети, автоматизированные системы управления (далее – ИС/ИТКС/АСУ) по многим причинам. Во-первых, это пересекающиеся множества (и ИТКС, и АСУ по НПА тоже ИС). Во-вторых, разносущностные понятия – системы и сети (мало кто сейчас сформулирует в чём состоит между ними различие). В-третьих, ИС по ГОСТ и НПА – абстрактное, алогичное и потому абсолютно неопределимое понятие. В-четвёртых, это несоответствующие по масштабам понятия: ИС предприятия не может быть принята в качестве составного элемента инфраструктуры государства. В основании инфраструктуры должны быть положены объекты, обеспечивающие функционирование системы (см. определение выше). ИС ЮЛ/ИП не обеспечивают функционирование КИИ РФ, они обеспечивает функционирование какого-нибудь подразделения ЮЛ или ИП. В качестве базового элемента КИИ РФ мог бы быть принят, например, «объект информатизации» ЮЛ/ИП, если бы некоторые деятели не приплели к определению этого термина помещения/здания/сооружения, да ещё и их предназначение для ведения конфиденциальных переговоров. С этими уточнениями и дополнениями правильное, в принципе, определение превратилось в ахинею.

Остальные определения в 187-ФЗ – тоже полнейшая ахинея/абсурд (что конкретно из этого, можно уточнить здесь), но я их сейчас разбирать не буду, т.к. они вообще не нужны для построения системы защиты КИИ.

3

Термины и определения, используемые в Концепции безопасности КИИ РФ Атаманова Г.А.

Информационная инфраструктура РФ – совокупность информационно-телекоммуникационных систем (далее – ИТКС), созданных и эксплуатируемых резидентами РФ.

ИТКС – совокупность программно-технических средств обработки, хранения, трансляции информации, программного обеспечения и созданных с их помощью информационных ресурсов.

ИТКС = ПТСОХТИ + ПО + ИР

Резидент – юридическое или физическое лицо, зарегистрированное в определённом государстве и полностью подчиняющееся его национальному законодательству.

Отсюда развёрнутое определение:

Информационная инфраструктура РФ – совокупность программно-технических средств обработки, хранения и трансляции информации, программного обеспечения и информационных ресурсов, созданных и эксплуатируемых резидентами РФ.

Критическая информационная инфраструктура РФ – совокупность ИТКС резидентов РФ, нарушение или прекращение функционирования которых может повлечь причинение вреда населению РФ, инфраструктуре государства, а также его конституционному строю.

Субъект КИИ – Правительство РФ.

Примечание: субъект должен соответствовать объекту. Если объект управления – КИИ РФ, то субъектом у такого объекта должен быть орган власти, полномочия которого распространяются на весь объект. Не может быть такого, чтобы у одного объекта управления – КИИ, было много субъектов. И не может называться субъектом тот, кто управляет крохотным элементом мегаобъекта.

Владелец объекта КИИ – юридическое лицо или индивидуальный предприниматель, владеющий на законном основании объектом КИИ.

Объект КИИ – ИТКС резидента РФ, нарушение или прекращение функционирования которого может повлечь причинение вреда населению РФ, инфраструктуре государства, а также его конституционному строю.

Объекты КИИ РФ делятся (например) на 4 категории:

Объект КИИ 1 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- гибель 50 и более человек, причинение вреда здоровью 500 и более человек;

- причинение существенного вреда экологии региона;

- причинение существенного вреда экономике и обороноспособности государства;

- дестабилизацию социально-политической ситуации в стране;

- выделения на ликвидацию последствий аварии более 0,1% бюджета страны на текущий год.

Объект КИИ 2 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- гибель от 5 до 50 человек, причинение вреда здоровью от 50 до 500 человек;

- причинение существенного вреда экологии района;

- причинение существенного вреда экономике региона;

- дестабилизацию социально-политической ситуации в субъекте федерации;

- выделения на ликвидацию последствий аварии более 0,1% бюджета субъекта федерации на текущий год.

Объект КИИ 3 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- причинение временного дискомфорта более половины населения города;

- причинение незначительного вреда экологии района;

- причинение незначительного вреда экономической деятельности клиентов, контрагентов, бюджету региона;

- дестабилизацию социально-политической ситуации в населённом пункте (городе);

- невозможность ликвидировать последствия аварии своими силами в установленные нормативами сроки.

Объект КИИ 4 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- причинение временного дискомфорта населению района города;

- причинение незначительного вреда экономической деятельности клиентов, контрагентов, бюджету региона;

- дестабилизацию социально-политической ситуации в районе города;

- привлечение для ликвидации последствий аварии заёмных средств.

Примечание к п. 3:

1. К ОКИИ 1-й категории, по моему мнению, должны быть отнесены ИТКС АЭС. Других объектов, подлежащих отнесению к этой категории, я назвать не могу. По-моему, их нет. Ко 2-й категории могут быть отнесены, например, ИТКС НПЗ, крупные химзаводы, заводы по производству взрывчатых и ядовитых химических веществ, твёрдотопливных ракет и, возможно ещё какие-то. К 3-й категории – ИТКС каких-то предприятий по производству удобрений, химреагентов, краски и т.п., АСУ ж/д движением, управления воздушным движением (при наличии таких), и пр. К 4-й – ИТКС банков (не всех), казначейств, некоторых федеральных органов власти, предприятий ЖКХ и ТЭК, водоснабжения и водоотведения и, возможно ещё какие-то. ИТКС органов власти регионов и, тем более, местного самоуправления к КИИ не относятся ни при каких условиях. Даже если они все разом выйдут из строя, ничего плохого в стране не произойдёт, скорее наоборот, легче станет бизнесу.

2. Можно обойтись и тремя категориями, объединив 3-ю и 4-ю и подкорректировав критерии.

4

Категорирование объектов КИИ

1. Резиденты РФ - владельцы ИТКС направляют в ФСТЭК заявку установленной формы на включение их ИТКС в перечень объектов КИИ РФ.

2. После проверки правильности заполнения заявки и приведенного владельцем обоснования, ИТКС включается/не включается в Перечень.

3. Включение ИТКС в Перечень влечёт за собой:

- бесплатное подключение ИТКС-ОКИИ к ГосСОПКА (брать деньги за подключение ОКИИ к ГосСОПКА – преступление. Государство заинтересовано, государство обязало и платить должно государство);

- предоставление владельцам ИТКС-ОКИИ налоговых льгот в зависимости от категории ОКИИ (например, для владельца ОКИИ 1 категории – освобождение от НДС, 2 категории – 75 % НДС и т.д.). Сэкономленные таким образом средства владелец ОКИИ обязан направить на создание СЗ ОКИИ;

- оказание в безусловном порядке постоянной (24х7) бесплатной методической помощи со стороны регуляторов;

- проверку соответствия созданной на ОКИИ СЗ требованиям регуляторов. Проверка может осуществляться двумя способами: 1) аттестацией лицензиатом ФСТЭК; 2) декларированием соответствия созданной на предприятии комиссией;

- при аттестации СЗ ОКИИ требованиям регуляторов лицензиатом ФСТЭК, руководство владельца ОКИИ освобождается от уголовной ответственности. В случае возникновения серьёзных последствий ответственность полностью возлагается на лицензиата, регулятора, выдавшего лицензию, ГосСОПКА;

- при декларировании соответствия СЗ ОКИИ требованиям регуляторов комиссией предприятия, ответственность возлагается на председателя комиссии и руководителя подразделения по ЗИ;

- ….

Примечание общее

Это – очень примерные, составленные мной в очень короткие сроки, тезисы, в общих чертах раскрывающие мои взгляды на организацию системы защиты КИИ РФ. Приведенные здесь определения и критерии могут быть не вполне точными, меры не до конца раскрытыми. Для того, чтобы их выверить и раскрыть нужно время и желание. Ни того, ни другого у меня не было. Всё это я написал только для того, чтобы: а) никто больше не говорил, что я только критикую и ничего не предлагаю; б) показать, что я совершенно справедливо критикую, в частности, 187-ФЗ; в) что предлагаемый мной подход к организации ГСЗИ в целом – разумный и методологически верный.