25.9.18

Перечень регуляторов по КИИ и процессов, за которые они отвечают

На "ИТ-Диалоге", в модерируемой мной секции по критической инфраструктуре, у нас зашел с Валерием Комаровым разговоро, который сподвиг меня на отрисовку схемы, в которой я хотел собрать всех регуляторов, которые имеют отношение к теме КИИ и процессы, в которых они участвуют. Получилась вот такая схема, которую я бы хотел немного прокомментировать.



Первые два этапа связаны с определением субъектов и категорированием объектов КИИ. Формально за первый этап у нас не отвечает никто - эта тема отдана на откуп самим организациям, которые могут, опираясь на логику прочтения ФЗ-187 самостоятельно принять решение - субъект они или нет. Но фактически, именно ФСТЭК, собирая перечни объектов, определяет правильно или нет организации себя отнесли к субъектам. Со вторым этапом ситуация схожая - из финального текста ПП-127 исчез пункт о том, что ФСТЭК имеет право разъяснять положения НПА, но фактически только ФСТЭК этим и занимается (поэтому на схеме регулятор отмечен пунктиром и другим цветом). Ну и ФСТЭК проверяет правильность категорирования.

С требованиями по ИБ вроде все ясно - основным застрельщиком является ФСТЭК, а в зависимости от сферы деятельности, могут быть добавлены и иные защитные меры. Банки должны выполнять требования ЦБ, госы - требования 17-го приказа, операторы связи - отсутствующие требования Минцифры.

Дальше интересней. Регулятором в области ГосСОПКИ у нас является ФСБ, которая создала для этого специальную организацию - НКЦКИ, которая и управляет всеми вопросами, связанными с ГосСОПКОЙ. Тут вроде ничего нового пока тоже нет. Кроме, разве что, пока непонятного лично мне статуса самого НКЦКИ. Судя по ФЗ-187 - это не подразделение ФСБ, а отдельная организация, обеспечение которой лежит на плечах ФСБ, и руководит им также сотрудник спецслужбы.

Но вот дальше уже интереснее. Согласно проекта приказа ФСБ по реагированию на инциденты и ликвидации последствий, помощь в расследовании оказывают сотрудники не НКЦКИ, а ФСБ, то есть территориальных управлений регулятора. Я помню, как 5 лет назад меня футболили по поводу вопроса об уведомлении об инцидентах на объектах ТЭК в соответствие с ПП-861 и в итоге я дошел до Управления по контрразведывательному обеспечению объектов промышленности Службы экономической безопасности ФСБ. И там, похоже, не знали, что мне отвечать. Надеюсь, что сотрудники терорганов ФСБ будут не только знать, но и уметь как реагировать на инциденты ИБ.

Дальше в схеме у нас контроль и надзор, который могут обеспечивать ФСТЭК и прокуратура. А вот потом вновь в игру вступает ФСБ, которой по подследственности (ст.151 УПК) перейдет дело о возбуждении уголовного дела по факту нарушения статьи 274.1. И это вновь не НКЦКИ. А уж как будут трактовать кадровые сотрудники ФСБ материалы дела - предсказать никто не возьмется. В любом случае стоит (если вы еще не сделали) наладить отношения с местными ФСБшниками и узнать, кто у них будет заниматься безопасностью КИИ. Формально уголовные дела могут возбуждать также следователь с органом дознания (а прокуратура их может инициировать), но я предположу, что все такие дела будут уходить по подследственности в ФСБ и ОВД с СК ими заниматься не будут. Тоже самое касается и предварительного следствия.

Кстати, вопреки распространенному мнению, что наказывать будут за несоблюдение защитных мероприятий, на самом деле статья 274.1 достаточно четко говорит, что наказание повлечет только нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в КИИ, или правил эксплуатации ИС, АСУ ТП, ИТС и сетей связи, или правил доступа к ним, если оно повлекло нанесение вреда. Иными словами, если вы не установили промышленный МСЭ на границе с АСУ ТП, вас наказать нельзя (итак нельзя, но я упрощаю), а вот если вы его установили, но не соблюли инструкцию производителя, то вам светит часть 4 статьи 274.1 (до 8-ми лет). Вот такие пироги :-( Кстати, очень интересно почитать "Методические рекомендации по осуществлению прокурорского надзора за исполнение законов при расследовании преступлений в сфере компьютерной информации", выпущенные в мае 2014 года. Да, они касаются 274-й статьи (в 2014-м еще не было 274.1), но так как обе статьи почти идентичны по тексту, то думаю, что эти же рекомендации будут применяться прокуратурой и для новой статьи (как будет действовать ФСБ предположить пока не могу).

ЗЫ. Возможно в каких-то аспектах и ошибся, но вроде как перепроверил несколько раз по существующим и планируемым НПА.

2 коммент.:

Unknown комментирует...

Получается следущая картина. Если организация не определила себя как КИИ, то и ФСТЭК им сказать ничего не может.
А значит сидитим тихо и не отсвечиваем. Возможно ли определение кто есть КИИ самим регулятором?

Алексей Лукацкий комментирует...

Ну ФСТЭК может направить письмо организации и спросить, ну как же так? :-) Еще это может сделать прокурор в рамках надзорных мероприятий