В утвержденных СовБезом в 2012-м году основах госполитики в области безопасности АСУ ТП КВО дается такое определение критической информационной инфраструктуры: "критическая информационная инфраструктура Российской Федерации - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий". Можно дисскутировать на тему, хорошее это определение или нет, но оно характеризуется тем, что обозначает критическую инфраструктуру как совокупность АСУ ТП и связывающих их сетей, находящихся в разных секторах экономики и имеющих значение для обороны и безопасности страны.
Самое главное, что это же определение перекочевало в закон "О безопасности критической информационной инфраструктуры", потянув за собой весь ворох проблем и задавая тон будущим проблемам - при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов "критическая информационная инфраструктура", "объект КИИ" и "субъект КИИ". КИИ - это объекты (уже без совокупности) и сети, их связывающие. Объекты - это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).
Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР - это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями - нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.
Но это не все терминологические гримасы нового закона. Проблема с термином "КИИ", "объект КИИ" и "субъект КИИ" привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина "критическая инфраструктура" (если следовать западной терминологии) или "критически важный объект" (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.
К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев - социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только "рады"; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.
И я вновь задаю риторический вопрос: "Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?" и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но... Упускается из виду описанная выше трехуровневая иерархия "КИИ - объект КИИ - субъект КИИ". Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется "критическая" отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы - это часть транспортной системы, которая включена в сферу действия закона о БКИИ.
Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.
ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..
В утвержденной в День Победы Стратегии развития информационного общества дается иное определение: "критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой". Вроде и тут есть совокупность объектов и связывающих их сетей, но почему-то исключена привязка к назначению этих объектов, как это было сделано в определении выше. Вроде мелочь, но если посмотреть на определение объекта критической информационной инфраструктуры, то мы увидим, что именно там сделана ключевая ошибка, которая загнала авторов закона "О безопасности критической информационной инфраструктуры" в тупик, из которого уже не выбраться. Мы стали заложниками совершенно дурацкого термина, противоречащего не только здравому смыслу, но и международной практике.
В Стратегии говорится, что "объекты критической информационной инфраструктуры - информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности". То есть, объект КИИ - это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана :-) Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.
В Стратегии говорится, что "объекты критической информационной инфраструктуры - информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности". То есть, объект КИИ - это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана :-) Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.
Самое главное, что это же определение перекочевало в закон "О безопасности критической информационной инфраструктуры", потянув за собой весь ворох проблем и задавая тон будущим проблемам - при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов "критическая информационная инфраструктура", "объект КИИ" и "субъект КИИ". КИИ - это объекты (уже без совокупности) и сети, их связывающие. Объекты - это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).
Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР - это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями - нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.
Но это не все терминологические гримасы нового закона. Проблема с термином "КИИ", "объект КИИ" и "субъект КИИ" привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина "критическая инфраструктура" (если следовать западной терминологии) или "критически важный объект" (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.
К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев - социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только "рады"; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.
И я вновь задаю риторический вопрос: "Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?" и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но... Упускается из виду описанная выше трехуровневая иерархия "КИИ - объект КИИ - субъект КИИ". Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется "критическая" отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы - это часть транспортной системы, которая включена в сферу действия закона о БКИИ.
Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.
ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..