07 ноября 2018

Закон о КИИ. Ответы на некоторые вопросы и первые результаты реализации

Этой заметкой мы открываем серию публикаций, которая будет предоставлена вашему вниманию до конца текущего года, с обзором ситуации и анализом основных результатов реализации положений федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон).

Закон вступил в действие 1 января 2018 года и продолжает вызывать интерес у всех, кто может подпасть под определение субъекта КИИ (напомним, что это госорганы и госучреждения, юридические лиц и индивидуальные предприниматели, функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской и иных сферах финансового рынка, топливно-энергетического комплекса, атомной энергии, оборонной и ракетно-космической промышленности, горнодобывающей, металлургической и химической промышленности).

На многие вопросы ответы были даны в выступлении начальника 5 отдела 2 управления ФСТЭК России Алексея Валентиновича Кубарева на конференции «Информационная безопасность финансовой сферы», которая состоялась в Москве 20 сентября 2018 года.

Первый такой вопрос — кто конкретно во ФСТЭК России отвечает за координацию деятельности по защите КИИ. Это — Кубарев Алексей Валентинович, начальник 5 отдела 2 управления ФСТЭК России ((499) 246-11-89; otd25@fstec.ru).

Второй вопрос касается отнесения той или иной организации к числу потенциальных субъектов КИИ. Вот, скажем, предприятия, снабжающие население водой (например, «Мосводоканал») являются критически важными, но напрямую под определение субъекта КИИ не подпадают. Было разъяснено, что каждое предприятие (юрлицо или ИП) имеет устав, лицензии, регистрацию в ЕГРЮЛ (едином государственном реестре юридических лиц), где обязательно раскрывается область деятельности с привязкой к ОКВЭД — общероссийскому классификатору видов экономической деятельности. Если в уставах предприятий водоснабжения указан такой вид деятельности, как «транспортировка воды по трубопроводам», то получается, что соответствующие предприятия работают в сфере транспорта и, следовательно, они подпадают под определение субъекта КИИ. Таким образом, сомневающимся следует внимательно изучить собственный устав, после чего ответ на вопрос о принадлежности к субъектам КИИ будет найден.

Третий вопрос — сроки инвентаризации информационной инфраструктуры и выявления потенциально значимых объектов КИИ. В решении коллегии ФСТЭК России от 24 апреля 2018 года №59 до 1 августа 2018 года рекомендуется субъектам КИИ утвердить и направить во ФСТЭК России перечень принадлежащих им объектов критической информационной инфраструктуры, а до 1 января 2019 года провести их категорирование. Можно, конечно, пошутить, что, оказывается, часть работы надо было сделать вчера, но приходится констатировать факт, что ФСТЭК России существенно ужесточила сроки категорирования объектов КИИ. Поэтому всем потенциальным субъектам КИИ следует активизироваться, так как регулятор уже сейчас имеет основания вежливо интересоваться результатами работ по формированию перечня объектов КИИ, а с наступлением нового 2019 года (кстати, всех с Наступающим, так, на всякий случай) — результатами их категорирования.

Также разъяснение получила формулировка из определения субъекта КИИ в Законе о принадлежности «на ином законном основании». В данном случае основание — «это документ, в котором определено, что пользователь получил от владельца объекта право на его использование в течение определенного периода на условиях, установленных собственником», например, «договор пользования, договор на право хозяйственного ведения, договор на право оперативного управления».

Отдельно отмечено, что:

  • информацию об отсутствии у организации объектов КИИ во ФСТЭК России предоставлять не надо;
  • перечни объектов КИИ необходимо предоставлять в центральный аппарат ФСТЭК России, но ФСТЭК России не утверждает и не согласует их;
  • в перечнях, зачастую, не учитываются объекты, принадлежащие к КИИ как раз на «иных законных основаниях»;
  • акты категорирования во ФСТЭК России не предоставляются, а предоставляются сведения о результатах категорирования (очень желательно — не только в бумажном, но и в электронном режиме).

Другими словами, внимательно читайте нормативные документы по категорированию, и не нужно самодеятельности.

Напомним, что читать нужно:

В заключение немного статистики. По состоянию на 20 сентября 2018 года во ФСТЭК России обратилось 482 субъекта КИИ, сообщив о наличии у них в совокупности 20524 объектов КИИ (примерно 42 объекта у одного субъекта).

Таким образом, работы по реализации положений федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» идут достаточно активно, поэтому тем руководителям, которые ещё только думают, являются ли их организации потенциальными субъектами КИИ или нет, следует, как минимум, чётко определиться с этим (выше описано, как это сделать). Если повезёт — организация не относится к субъектам КИИ, — то можно расслабиться; если же окажется, что она — субъект КИИ, то следует резко активизировать деятельность по категорированию используемой информационной инфраструктуры и начать планировать мероприятия по её защите.

Удачи!

Авторы
  • Дмитрий Сатанин

    Руководитель направления по работе с государственными органами РФ и СНГ, Kaspersky ICS CERT