Более 8 лет прошло с момента выхода 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», но вопросов по его реализации не стало меньше, скорее, наоборот. Главное, самый важный, ключевой вопрос – кто является субъектом КИИ? – остаётся открытым.
Напомню, что в законе написано, что субъект КИИ – это тот, у кого есть хоть одна «ИС, ИТКС, АСУ, функционирующая в сфере». Девятый год пошёл, но что такое «ИС, ИТКС, АСУ, функционирующая в сфере» толком так никто и не знает! Ходят слухи, что ФСТЭК планирует относить предприятия, организации, учреждения к категории «субъект КИИ» по ОКВЭДам.То, что ОКВЭД не имеет к 187-ФЗ никакого отношения, было
установлено сразу же после выхода закона. Но все эти дебаты подзабылись и
теперь регулятор решил пойти по самому простому (и самому неверному, с т.зр.
закона) пути. Если это будет сделано их приказом, то это будет грубейшее
нарушение, граничащее с преступлением: организация, которой законом не
предоставлено право даже давать разъяснения, будет приказывать другим, как этот
закон выполнять. Что на это скажет Конституционный суд? Посмотрим. Думаю, ждать
осталось не долго.
Лично я надеюсь, что у регулятора хватит здравого ума не
нарушать самому и не толкать на нарушение закона других. Проблема здесь в том,
что юридическая ответственность за отнесение/неотнесение организации к
категории «субъект КИИ» останется на самой организации. ФСТЭК, если эта норма
будет введена их приказом, не будет нести за него никакой ответственности. При
этом за невыполнени своего приказа она может привлекать организации к
административной ответственности в расчёте на то, что с ней никто не будет судиться.
А если будут судиться, то всё равно – сами виноваты: нужно было выполнять
требования закона, а не подзаконного акта. Замкнутый круг. И ещё один момент:
попав в перечень субъектов КИИ из него практически нельзя выйти. ФСТЭК
придумывает разные уловки, чтобы не выпустить. И не понятно, зачем? Или почему?
Может им больше нечем заняться? Работы не хватает? Или штат хотят в очередной
раз раздуть? Остаётся только гадать.
Что же касается «ИС, ИТКС, АСУ, функционирующих в сфере», то
здесь гадать не нужно, нужно разбираться через призму закона. И, как
выясняется, всё довольно просто.
Так, ни одна ИТКС не функционирует ни в одной из сфер,
перечисленных в законе. ИТКС – это информационно-телекоммуникационная сеть.
Сеть! А не система. Любая информационно-телекоммуникационная сеть функционирует
«в сфере коммуникаций между различными
подразделениями организации». Это однозначно и чётко сказала Яндекс
Алиса. Не закон, конечно, но и не с потолка она это взяла.
Автоматизированная система управления (АСУ) — это комплекс
технических и программных решений, предназначенных для автоматизации процессов
управления объектами различной сложности. АСУ не функционируют в сферах! Во
всяком случае, я не знаю об АСУ, предназначенных для управления сферами. Если
они есть, то только на федеральном уровне, уровне министерств.
Для предприятий остаются только ИС – информационные системы.
Согласно 149-ФЗ «информационная система – совокупность
содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств». Другими словами,
информационной системой называется неразрывная совокупность:
- информации, содержащейся в базе (базах) данных;
- информационной технологии обработки базы (баз) данных;
- технических средств, обеспечивающих работу с базой
(базами) данных.
Технические средства обработки информации и то, что
регулятор обозвал информационной технологией, инвариантны по отношению к
обрабатываемой с их помощью информации. По-простому: с помощью одних и тех же
средств и технологий можно обрабатывать совершенно различную информацию и ни
техника, ни технология никак не влияют на определение сферы, в которой
функционирует информационная система. Следовательно, то, в какой сфере
функционирует та или иная информационная система, определяется исключительно
по характеру информации, содержащейся в базе (базах) данных.
Например, у вас есть «Информационная система «1С: Кадры»».
В какой сфере она функционирует?
Как правило, люди пишут, что «Информационная система «1С:
Кадры»» функционирует в той сфере, в которой функционирует само предприятие:
если это здравоохранение, то «в сфере здравоохранения», если энергетика, то «в
сфере энергетики».
И это – категорически не верно!
ИС «1С: Кадры» функционирует в сфере управления кадрами,
«1С: Бухгалтерия» – в сфере бухгалтерского учёта и налоговой отчётности и так
далее в том же духе. Почему? А всё потому, что сфера функционирования ИС
определяется характером информации, содержащейся в базе данных. В базе данных
«1С: Кадры» содержатся данные о работниках предприятия и эта база создана с
целью повышения удобства и оперативности обработки информации о персонале
предприятия. Аналогично обстоят дела с «1С: Бухгалтерия» и прочими т.н.
информационными системами.
«1С: Регистратура» в поликлинике не функционирует в сфере
медицины. Она функционирует в сфере услуг. Как, впрочем, и вся поликлиника.
Парадокс состоит в том, что сама поликлиника структурно входит в состав сферы
медицины, но функционирует она, по закону, в сфере услуг и, что вполне
естественно, все информационные системы поликлиники функционируют в сфере
услуг. При этом поликлиника может иметь точку подключения к ИС, функционирующей
в сфере медицины. Например, к ЕГИСЗ – Единой государственной информационной системе в сфере
здравоохранения. Но подключение к ЕГИСЗ не делает ИС поликлиники частью ЕГИСЗ,
точно так же, как подключение абонентов к ГИС «Госуслуги» не делает их частью
этой системы, а подключение к ИС «Сбер» не делает компьютеры и мобильные
устройства клиентов банка сегментами ИС Сбера.
Сегмент системы – это обособленная часть системы,
объединённая общими компонентами и функциями, физически или логически
выделенная для выполнения конкретной задачи. Главный признак сегмента – право
владения. Сегмент только в том случае сегмент, если он принадлежит на законных
основаниях владельцу общего. Если Минздрав объявляет ИС поликлиник сегментами
ЕГИСЗ, то он и должен содержать этот сегмент за свой счёт и, в том числе,
проводить весь комплекс работ по защите циркулирующей в этом сегменте
информации, включая содержание и СЗИ, и персонала отдела ТЗИ, и нести за всё
это ответственность.
За сегмент отвечает владелец целого!
Иначе всё это превращается в абсурд: сегмент мой, но ты его
купи, поставь, настрой, защити за свой счёт, а я за это ещё с тебя и спрошу.
Здесь явно прослеживается превышение полномочий и нарушение
межбюджетных отношений. А это уже прерогатива прокуратуры. Думаю, отстранением
от должностей ретивых деятелей из Минздрава, Минэнерго и прочих ведомст,
проявивших профессиональную безграмотность, это не закончится.
Моя квартира – элемент дома. Она подключена к системе
водоснабжения, отопления, электроснабжения, но она – моя собственность и не
является ни сегментом дома, ни сегментом системы водоснабжения, ни сегментом
системы теплоснабжении, ни сегментом системы электроснабжения района/города/области/государства!
Иногда я пользуюсь лифтом, но от этого моя квартира не становится сегментом
лифтового хозяйства дома или района.
Когда речь заходит о т.н. материальных ценностях, то, как я
понимаю, всем всё предельно ясно и понятно. Но, почему-то, когда речь заходит
об информационных системах, у людей мгновенно отказывает логическое мышление.
Или кто-то делает это сознательно? Кто и зачем?
Я склонен думать, что всё это делается по недомыслию, из-за
незнания законов и нежелания их читать и в них вникать. Беда только в том, что
из-за отдельных дураков и лентяев страдают все, а больше всех – бизнес.
ИС «Склад» магазина, аптеки, энергоснабжающей организации
функционирует в сфере учёта товара, но не сферах сельского хозяйства, медицины,
энергетики и т.д. И ИС «Биллинг» не функционирует в сфере связи, энергетики,
водоснабжения и т.д. ИС «Биллинг» тоже функционирует в сфере торговли, потому
что главная её задача – выставление клиентам счетов за потреблённые ресурсы.
И ИС ВУЗов не функционируют в сфере науки. ВУЗы
функционируют в сфере реализации образовательных программ и, скорее всего, ни в
одном ВУЗе нет ИС, функционирующих в сфере науки. Разве что в НИИ, да и то не в
каждом? Там есть те же ИС «Кадры», «Бухгалтерия», «Студенты» и пр. А вот баз
данных, содержащих результаты научных исследований, скорее всего, нет. Есть
папки с диссертациями, выпускными квалификационными работами и прочим
информационным хламом, типа программ, планов, отчётов, которые под определение
понятия «информационная система», приведенное в 149-ФЗ, не подпадают.
Законы становятся всё больше и больше по объёму, а язык, на
котором их пишут,всё сложнее и сложнее. При этом всё меньше и меньше становится
тех, кто их умеет читать и тем более понимать. В том числе и в регуляторе. Вот
я и решил помочь: чем чёрт не шутит, может и прочитают, подумают и поймут, что
я прав. На благодарность не рассчитываю. Достаточно будет, если примут к
сведению и учтут в работе.
Интересный подход, который я во многом разделяю. Не хотелось бы заниматься "придуманной" работой и тратить физические и материальные ресурсы "в пустоту". Однако, ИТКС может функционировать в сфере, например, здравоохранения (дистанционная консультация при проведении операции). А АСУ ТП задействовано в производстве. Например выпуск труб в металлургии. Негативные последствия здесь возможны при компьютерном инциденте. Согласен, нам трудно включать здравый смысл, тем более когда его иногда не хватает даже у законодателей и регуляторов. Поэтому данная тема требует обсуждения и конкретизации, в т.ч. со стороны ФСТЭК России.
ОтветитьУдалитьАвторы закона ввели совершенно новое понятие без его разъяснения. Постепенно люди привыкли к непривычному словосочетанию и оно стало привычным и при этом стало казаться более понятным. И это ошибочное мнение. Его все стали понимать абсолютно неправильно. В законе совершенно верно поставлен вопрос о необходимости защиты ИС, ИТКС, АСУ, функционирующих в сфере, например, здравоохранения. Не отдельной поликлиники, а в сфере здравоохранения! В сфере. Рентген-аппарат функционирует не в сфере здравоохранения, а в поликлинике. И то, что поликлиника входит в состав сферы здравоохранения не делает рентген-аппарат функционирующим в сфере здравоохранения. Но в сфере здравоохранения есть система, функционирующая в сфере здравоохранении. Это - ЕГИСЗ. И она - объект КИИ. Выход её из строя критичен для государства. Критичность выхода из строя рентген-аппарата в отдельно взятой поликлинике (и даже одновременно во всех поликлиниках города) смешно даже обсуждать. Как и выход АСУ ТП металлургического завода. АСУ металлургического завода функционирует в сфере управления технологическим процессом металлургического предприятия. В законе речь идёт об автоматизированных системах управления сферами народного хозяйства. Поэтому там - АСУ, а не АСУ ТП. АСУ ТП в сферу действия закона не подпадают. И это правильно! Уровень государства - сферы хозяйства, а АСУ ТП - уровень предприятия. Это же касается и ИС и ИТКС. ИТКС - это сеть и как минимум региональная. Хотя и региональная функционирует не в сфере, а в регионе. Правильно - только всероссийская сеть, стоящая на балансе министерства. И я не знаю, есть такие или нет. Но только это правильно: в масштабах страны, а не какой-то там стоматологии. Ещё раз: в законе речь идёт, как я это понимаю, о ИС, ИТКС, АСУ государственного масштаба, а не масштаба отдельно предприятия. И это правильно! Особенно в современных условиях. Федеральные органы должны заниматься обеспечением безопасности федеральных структур, а не распылять свои и без того недостаточные силы на поликлиники. Надеюсь, все понимают, чем это может обернуться.
ОтветитьУдалить