ru
ru en

Субъект КИИ или не субъект, вот в чем вопрос!

Федеральный закон от от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», распространяющийся на субъекты КИИ, вступил в силу уже полгода назад, а на ключевой вопрос о принадлежности организации к субъектам КИИ во многих случаях до сих пор нет однозначного ответа. Павел Луцик попробовал разобраться. ЦПС публикует статью с разрешения автора.

Материал также можно прочитать в блоге Павла Луцика «Информационная безопасность на 360°».

Кто же такие субъекты КИИ? По определению из 187-ФЗ субъекты КИИ — это государственные органы, государственные учреждения, российские юридические лица и (или) ИП, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ (далее обобщенно — ИС), функционирующие в 12 сферах (далее — указанные сферы). ФСТЭК объединяет энергетику и ТЭК в одну сферу, поэтому сфер 12, а не 13: в приказе ФСТЭК от 06 июня 2017 года № 227 это явно прописано, также это устно проговаривалось представителями ФСТЭК на конференциях.

Тут важно понимать — и это следует из определения в законе, — что к субъектам КИИ относятся не те организации, которые работают в указанных сферах, как некоторые это интерпретируют, а те, которым принадлежат ИС, функционирующие в этих сферах (хотя, как мы дальше увидим, это почти одно и то же). Отдельно стоит выделить государственные органы и государственные учреждения: бытует мнение, что все они являются субъектами КИИ. Но по определению (и частное мнение представителей ФСТЭК это подтверждает) государственные органы или государственные учреждения являются субъектами КИИ наравне с юридическими лицами лишь тогда, когда им на законных основаниях принадлежат ИС. Если у гос. органа или гос. организации нет таких ИС, то они не субъект КИИ.

Формально нигде в законодательстве или на каком-то ином уровне (кроме понятийного) не закреплено отнесение ИС к определенной сфере. Для себя на понятийном уровне я выделил два подхода отнесения ИС к определенной сфере: косвенный и прямой.

Именно с косвенного подхода рекомендует начинать ФСТЭК при определении принадлежности организации к субъектам КИИ.

Косвенный подход (подход ФСТЭК). ИС относится к определенной сфере в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности организации в рамках рассматриваемой сферы. В этом случае система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов.

В качестве примера можно рассмотреть систему продаж билетов на поезда и систему управления турникетами прохода пассажиров на ж/д платформы. Так, по функционалу система продаж ж/д билетов ничем не отличается от классической системы продаж билетов, например, в кинотеатре. А система управления турникетами прохода пассажиров на платформы работает аналогично системе управления турникетами в каком-нибудь бизнес-центре. Но при этом от работы системы продажи билетов на поезда и системы управления турникетами прохода пассажиров на ж/д платформы существенным образом зависит доступность транспортных услуг.

Примеров таких систем может быть много — и вообще, невозможно себе представить ситуацию, при которой организация осуществляет деятельность в одной из сфер и в рамках этой деятельности не имеет ни одной ИС, обеспечивающей реализацию процессов, если только она не делает все на бумаге.

Прямой подход. ИС относится к определенной сфере в том случае, если она выполняет специализированные функции, явно относящиеся к данной сфере, то есть является специализированной ИС в рассматриваемой сфере. При этом, скорее всего, эти специализированные функции и вообще отнесение самой ИС к сфере прописаны в проектной документации на систему (ТЗ, паспорт и т. п.).

Например, это может быть система централизации стрелок и сигналов на ж/д станциях. Тут вопросов о том, относится данная система к транспортной сфере или нет, не возникает. И думаю, что в документации на эту систему можно явно найти этому подтверждение.

* * *

В итоге в случае применения косвенного подхода при определении принадлежности организации к субъектам КИИ первостепенным становятся уже не ИС, а виды деятельности в указанных сферах. И если организация осуществляет виды деятельности, относящиеся к одной из указанных сфер, то автоматически найдутся ИС, явно или косвенно обеспечивающие реализацию процессов в рамках осуществления организацией соответствующих видов деятельности.

Именно с такого подхода рекомендует начинать ФСТЭК при определении принадлежности организации к субъектам КИИ. По рекомендации ФСТЭК, если по ОКВЭД, лицензиям, уставным документам или иным источникам организация попала в одну из указанных сфер (то есть основные виды деятельности организации принадлежат указанным сферам), то очень велика вероятность (примерно 100%) того, что у организации есть системы, связанные с основными видами деятельности (обеспечивающие их выполнение) и поэтому подпадающие под понятие «функционирующие в указанных сферах». Тут важно еще отметить, что у организации не все лицензии или записи в ОКВЭД могут быть актуальными, так как некоторыми видами деятельности организация на текущий момент может и не заниматься (занималась раньше или когда-то прописала некоторые виды деятельности на всякий случай). В этом случае по логике организация не является субъектом КИИ, но у ФСТЭК по этому поводу могут возникнуть вопросы, когда регулятор увидит, что по ОКВЭД или лицензиям организация занимается деятельностью, подпадающей под одну из сфер, но не предоставила результаты категорирования.

Если же ориентироваться на прямой подход, первостепенным становится установление наличия специализированных ИС, явно относящихся к определенной сфере. Если находится хотя бы одна такая ИС, то независимо от того, подпадает организация под одну из указанных сфер или нет, она становится субъектом КИИ. То есть возможна ситуация, когда организация по ОКВЭД, лицензиям и уставным документам не подпадает ни под одну из сфер, но при этом владеет специализированными ИС, которые под эти сферы подпадают — в результате организация автоматически становится субъектом КИИ.

Тут тоже важно отметить ситуацию, когда организация владеет специализированной ИС, функционирующей в определенной сфере, но по каким-то причинам не получила лицензии и (или) не указала в уставных документах виды деятельности, отнесенные к сфере, в которой функционирует данная специализированная ИС. В этом случае рекомендуется получить соответствующую лицензию и указать в уставных документах соответствующие виды деятельности (даже без привязки к 187-ФЗ), иначе это уже нарушение Федерального закона от 4 мая 2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Также возможна и обратная ситуация, при которой организация подпадает под одну из сфер, но не имеет специализированных ИС, связанных с этой сферой, и поэтому не является субъектом КИИ.

* * *

Посмотрим сначала, как на практике выглядит процесс определения видов деятельности организации по ОКВЭД, уставу и лицензиям, а затем попробуем разобраться во всех возможных вариантах определения принадлежности организации к субъектам КИИ.

Рассмотрим процесс определения видов деятельности на примере одной из организаций сферы железнодорожного транспорта (не РЖД). Для определения видов деятельности данной организации по ОКВЭД воспользуемся одним из публичных сервисов, который в качестве источника информации использует в том числе ЕГРЮЛ, — www.list-org.com.

Рис. 1

Вводим имя организации или один из других доступных параметров. В ответ получаем следующий результат:

Рис. 2

Видим, что рассматриваемая организация имеет вид деятельности, явно подпадающий в сферу транспорта. При этом важно отметить, что данным и другими подобными ресурсами может и — вполне возможно — будет пользоваться ФСТЭК, особенно если учесть, что ресурс работает и в обратную сторону, то есть если указать определенный вид деятельности, то можно найти все организации, которые этот вид деятельности осуществляют. В частности, если в поиске указать полученный на предыдущем шаге вид деятельности 49.10.1, то в качестве результата можно увидеть количество и перечень всех организаций, осуществляющих данный вид деятельности.

Рис. 3

Если же после просмотра информации по ОКВЭД еще остаются вопросы, переходим к просмотру лицензий, позволяющих осуществлять определенные виды деятельности. Сами лицензии или информация о них часто публикуются на официальном сайте организации. Собственно, там я одну из лицензий и взял.

Рис. 4

По лицензии также видно, что деятельность организации явно попадает в сферу транспорта. Далее для чистоты эксперимента смотрим в устав организации (тоже взят на ее официальном сайте) и в очередной раз убеждаемся, что по осуществляемым видам деятельности организация попадает в сферу транспорта.

Рис. 5

* * *

Рассмотрим теперь по очереди все возможные варианты, связанные с определением принадлежности организации к субъектам КИИ.

Организация подпадает под указанные сферы, и у нее есть специализированные ИС, функционирующие в указанных сферах. В качестве примера возьмем РЖД, владеющую упомянутыми выше системами централизации стрелок и сигналов на ж/д станциях. РЖД однозначно подпадает по ОКВЭД, лицензиям и уставным документам под сферу транспорта. А указанные системы явно (и по прямому, и по косвенному подходам) функционирует в указанных сферах. Таким образом, по обоим подходам РЖД — субъект КИИ.

Организация подпадает под указанные сферы, но у нее нет специализированных ИС, функционирующих в указанных сферах. В качестве примера возьмем другую организацию в сфере железнодорожного транспорта. Данная организация так же, как и РЖД, по ОКВЭД, лицензиям и уставным документам однозначно подпадает под сферу транспорта. При этом она не владеет подвижным составом, не управляет стрелками и сигналами на станциях и не оказывает непосредственно транспортные услуги, однако обеспечивают продажу билетов на пригородные электрички, а также управляет турникетами для прохода пассажиров на платформы с применением соответствующих систем, упомянутых выше. В этом случае по косвенному подходу (подходу ФСТЭК) организация подпадает под определение субъекта КИИ, а по прямому подходу — нет.

В подобном случае рекомендуется направлять официальный запрос во ФСТЭК за разъяснением. Именно так и поступила рассматриваемая в данном варианте организация, отправив в запросе информацию о себе и двух ключевых системах, о которых идет речь выше. От ФСТЭК пришел неожиданно конкретный ответ о том, что в соответствии с 187-ФЗ указанные системы функционируют в сфере транспорта, и поэтому организация является субъектом КИИ, а ее системы — объектами КИИ.

Открыт вопрос о наличии у ФСТЭК полномочий по официальному разъяснению норм 187-ФЗ.

Тут еще остается открытым вопрос о наличии у ФСТЭК полномочий по официальному разъяснению норм 187-ФЗ (Валерий Комаров недавно делал об этом отдельный пост). И хотя формально ФСТЭК на такие разъяснения не уполномочен, по факту на официальные письма с запросами на разъяснения регулятор постоянно отвечает — к тому же проверки субъектов КИИ, владеющих значимыми объектами, тоже будет проводить ФСТЭК. Более того, на одной из конференций представитель ФСТЭК говорил о том, что если они увидят массовое уклонение от исполнения 187-ФЗ (непризнание себя субъектом КИИ) и (или) непредоставление в разумные сроки перечня объектов КИИ, подлежащих категорированию, то ФСТЭК подготовит и внесет в правительство текст документа, на основании которого правительство потом выпустит соответствующее постановление о внесении изменений в КоАП, предусматривающее административное наказание для «уклонистов» и (или) организаций, затягивающих предоставление перечня объектов КИИ. Правда, по новой статье КоАП правоприменителем может стать и не ФСТЭК, но это уже совсем другая история.

Организация не подпадает под указанные сферы, но у нее есть специализированные ИС, функционирующих в указанных сферах. Чтобы не ходить далеко за примером, рассмотрим любой водоканал, о котором уже многое говорилось. Суть в том, что по косвенному подходу, предлагаемому ФСТЭК, водоканал не подпадает ни под одну из сфер. Конечно, некоторыми коллегами делаются попытки подвести его по лицензиям под сферу химической промышленности, но я лично лицензий водоканала, которые могли бы явно отнести его к сфере химической промышленности, не нашел. При этом у водоканала есть специализированные ИС, связанные с процессом химической очистки воды и по прямому подходу подпадающие под понятие «функционирующие в указанных сферах». Получается, что по косвенному подходу водоканал не подпадает под понятие субъекта КИИ, а по прямому — подпадает. Тут совет аналогичный — пишите письма во ФСТЭК или самостоятельно принимайте решение о том, что вы субъект КИИ. Если же самостоятельно принять решение о том, что вы не субъект КИИ, то в случае возможных компьютерных инцидентов, повлекших серьезные последствия, к вам могут быть применены серьезные меры (какие — пока не понятно, но, как говорится, следствие разберется, причем, возможно, что и по ст. 274.1 УК РФ).

Отдельно хотелось бы обратиться к регуляторам и законодателям с просьбой обозначить критерии отнесения ИС к определенной сфере либо скорректировать определение субъекта КИИ в 187-ФЗ для более однозначного определения принадлежности организации к субъектам КИИ.

* * *

В качестве выводов предлагается несколько советов организациям, пытающимся понять, субъект они или не субъект:

  • Если по ОКВЭД, лицензиям, уставу и подобным документам вы относитесь к одной из сфер, то можете считать, что вы субъект, даже если вы полагаете, что у вас нет специализированных систем, функционирующих в указанных сферах (достаточно иметь обычные ИС, см. косвенный подход). Если все же сомневаетесь в этом, пишите письма во ФСТЭК.
  • Если по ОКВЭД, лицензиям, уставу и подобным документам вы не относитесь ни к одной из сфер, но есть специализированные ИС, по логике функционирующие в указанных сферах, не отсиживайтесь — пишите письма во ФСТЭК, чтобы хоть как-то застраховать себя на будущее.
  • Если вы подпадаете под действие 187-ФЗ, но не хотите признавать этого, в какой-то момент к вам могут постучать (правда, пока не совсем понятно какой именно регулятор) и попросить пересмотреть свой взгляд на данный вопрос. Ведь у регулятора есть все инструменты для этого (доступ к ОКВЭД, лицензиям, уставным документам). Лучше до такого не доводить.
  • Актуализируйте свои лицензии и информацию об актуальных видах деятельности, которая попадает в уставные документы и ОКВЭД, особенно если эти виды деятельности подпадают под сферы из 187-ФЗ, но при этом вы считаете, что не являетесь субъектом КИИ, одновременно имея лицензии и записи в уставных документах и ОКВЭД, относящие вас к субъектам.
  • Если вы не доверяете мнению ФСТЭК, считая (небезосновательно), что регулятор не уполномочен на разъяснение положений 187-ФЗ, можно направить в прокуратуру запрос о законной силе подобных разъяснений со стороны ФСТЭК или же сразу направить в прокуратуру запрос с разъяснением по интересующему вас вопросу относительно 187-ФЗ. Хотя лично мне слабо верится в то, что прокуратура ответит на такой запрос конструктивным образом.

P.S.:

  • Запись выступления заместителя начальника управления ФСТЭК Елены Торбенко на «ТБ Форуме 2018» по теме категорирования объектов КИИ (про принадлежность хозяйствующего субъекта к субъектам КИИ — начиная с 3:15).
  • Моя презентация по особенностям реализации требований 187-ФЗ (изображения выше взяты из нее).
  • Презентации коллег о подходах и средствах защиты в разрезе КИИ.