Закон о безопасности КИИ: терминологический тупик

В утверждённых Совбезом в 2012 году Основных направлениях госполитики в области безопасности АСУ ТП КВО дается такое определение КИИ: «Критическая информационная инфраструктура Российской Федерации — совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий». Можно дискутировать на тему, хорошее это определение или нет, но оно характеризуется тем, что обозначает критическую инфраструктуру как совокупность АСУ ТП и связывающих их сетей, находящихся в разных секторах экономики и имеющих значение для обороны и безопасности страны.

В «Стратегии развития информационного общества» даётся иное определение: «Критическая информационная инфраструктура Российской Федерации — совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой». Вроде и тут есть совокупность объектов и связывающих их сетей, но в отличие от определения выше почему-то исключена привязка к назначению этих объектов. Казалось бы, мелочь, но если посмотреть на определение объекта КИИ, то мы увидим, что именно там сделана ключевая ошибка, загнавшая авторов закона «О безопасности критической информационной инфраструктуры» в тупик, из которого уже не выбраться. Мы стали заложниками совершенно дурацкого термина, противоречащего не только здравому смыслу, но и международной практике.

В «Стратегии» говорится, что «объекты критической информационной инфраструктуры — информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности». То есть, объект КИИ — это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определённых секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана. Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, согласно «Стратегии», КИИ у нас может быть только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой те же водоснабжение или телерадиовещание выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже — но, увы, нет.

Самое главное, что это же определение перекочевало в закон «О безопасности критической информационной инфраструктуры», потянув за собой весь ворох проблем и задавая тон будущим проблемам при категорировании объектов КИИ и при их защите. Точнее, в законе о безопасности КИИ схожее определение, так как оно там формально, но всё-таки отличается от определения из «Стратегии». В законе идёт трёхуровневая связь терминов «критическая информационная инфраструктура», «объект КИИ» и «субъект КИИ». КИИ — это объекты (уже без слова «совокупность») и сети, их связывающие. Объекты — это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении субъектов КИИ идёт перечисление отраслей экономики (вновь без привязки к задачам создания информационных систем).

Внимательный читатель обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное наполнение определений. В законе о безопасности КИИ исчезли госорганы сами по себе, но добавлены наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13 отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная: вроде бы он является кредитно-финансовым учреждением, но при этом не относится к банковской сфере и к финансовым рынкам вроде бы тоже. То есть по версии Стратегии развития информационного общества ПФР — это КИИ, а по версии закона о безопасности КИИ нет.

Военные тоже выпали из понятия КИИ.

Точнее если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главврача и медсестры, будет квалифицирована по новой статье УК 274.1, то атака на систему управления войсками или вооружениями — нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили с декабря 2016 года.

Но это не все терминологические гримасы нового закона.

Проблема с термином «КИИ», «объект КИИ» и «субъект КИИ» привела к ещё большему разброду и шатанию в российском правовом поле. Ведь термин «критическая информационная инфраструктура» находится в прямом подчинении термина «критическая инфраструктура» (если следовать западной терминологии) или «критически важный объект» (если следовать российской и не вдаваться в споры о том, что у нас, помимо КВО, есть ещё стратегические объекты, стратегически важные объекты, опасные производства и т. п.). Но наши законотворцы эту причинно-следственную связь нарушили и сделали термин «КИИ» полностью независимым от объекта, на котором эта КИИ функционирует.

К чему это привело (а точнее приведёт)? К тому, что будет тяжёлая ситуация с категорированием. Если в идеальной ситуации (с сохранением причинно-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на всё разнообразие, вполне могли бы стать точкой отсчёта), то сейчас, увы, придётся создавать новую методику категорирования именно объектов КИИ и прописывать показатели категорирования исходя из соответствующих критериев: социальной, политической, экономической, экологической и иной значимости. Следовательно, какая-нибудь гидроэлектростанция будет классифицироваться по требованиям Минэнерго как объект ТЭК, по требованиям к антитеррористической защищённости, по требованиям МЧС и ещё по требованиям к КИИ. Владельцы таких объектов будут крайне «рады». Особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.

И вновь я задаю риторический вопрос «Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружения, ЖКХ и т. п.?» — и не нахожу на него ответа. Мне могут возразить, что в статье 7 закона о безопасности КИИ говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, однако упускается из виду описанная выше трёхуровневая иерархия «КИИ — объект КИИ — субъект КИИ». Категорируется объект КИИ, но не любой, а только тот, что принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13 отраслей, среди которых нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется «критическая» отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом.

Водоснабжение попадёт под закон о безопасности КИИ в единственном случае — если речь идёт о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, также обеспечивающие и водоснабжение. В остальных случаях — увы: шлюзы, насосные станции, водоочистка и т. п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы — это часть транспортной системы, которая включена в сферу действия рассматриваемого закона.

Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который местами написан просто безграмотно, что ещё аукнется нам в самом ближайшем будущем.

P.S. Ещё один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?.. [lukatsky.blogspot.ru]