В Стратегии говорится, что «объекты критической информационной инфраструктуры — информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности«. То есть, объект КИИ — это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана 🙂 Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.
Самое главное, что это же определение перекочевало в закон «О безопасности критической информационной инфраструктуры», потянув за собой весь ворох проблем и задавая тон будущим проблемам — при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов «критическая информационная инфраструктура», «объект КИИ» и «субъект КИИ». КИИ — это объекты (уже без совокупности) и сети, их связывающие. Объекты — это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).
Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР — это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями — нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.
Но это не все терминологические гримасы нового закона. Проблема с термином «КИИ», «объект КИИ» и «субъект КИИ» привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина «критическая инфраструктура» (если следовать западной терминологии) или «критически важный объект» (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.
К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев — социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только «рады»; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.
И я вновь задаю риторический вопрос: «Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?» и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но… Упускается из виду описанная выше трехуровневая иерархия «КИИ — объект КИИ — субъект КИИ». Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется «критическая» отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы — это часть транспортной системы, которая включена в сферу действия закона о БКИИ.
Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.
ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..
Это далеко не первый ФЗ с размытой терминологией и туманными формулировками. Вполне возможно, что это делается сознательно: в таком виде закон невозможно ни до конца понять, ни до конца выполнить. На кого он распространяется тоже сложно разобраться. Следовательно, применяться он будет так, как кажется правильным регуляторам, гибко и избирательно. Творчески 🙂
Что-то я не видел ни одного документа, разработанного 8-м центром, в котором бы содержались четкие и однозначные формулировки и требования. Да что 8-й центр… Взять хотя бы термин "персональные данные" — вот где простор для творчества должностных лиц!
Алексей, вот как интересно Вы все это написали, но вроде как я это уже где-то слышал призывы к пересмотру и упорядочению терминологии, а не у господина Атаманова ли, и Вы за это его ….. , ну скажем, критиковали. Да, кстати, а термин то почему «дурацкий», может все-таки определение?
про персональные данные поддержу, особенно после последних введений типа -куки))))) и истерии после этого.
Леруа мурлен теперь постоянно спрашивает про эти куки.
Алексей, зачем ты опять ищешь черную кошку в темной комнате, тем более что ее там нет? Зачем ты опять будоражишь умы софистикой, а не проблемами? Не надо путать людей. Надо им разъяснять! Начнем с «ВОДОСНАБЖЕНИЯ». Если посмотреть внимательно Постановление Госкомстата от 21.05.2002 № 122, то там указано 68 (!) отраслей экономики с кодами ОКОНХ. Но там НЕТ ТАКОЙ ОТРАСЛИ как ВОДОСНАБЖЕНИЕ. Это не отрасль, поэтому и в перечень в законе не вошла. По определению, отрасль – совокупность предприятий, производящих (добывающих) однородную или специфическую продукцию. Теперь разберем по частям, что в ходит в это «водоснабжение». Ты правильно отметил, что водохранилища и гидросооружения скорее всего относятся к отрасли энергетики. Кроме того, водохранилища, да и реки, шлюзы и прочая тоже, еще и относятся к отрасли водного транспорта, а это подотрасль транспорта, которая прописана в законе. Сюда же относятся и трубопроводы (ты это сам отметил) и водозаборные и водоочистные сооружения, насосные станции, так как это все «трубопроводный транспорт» или просто транспорт. Кстати, и канализация – трубопроводный транспорт! Так что все эти объекты МОГУТ быть прокатегорированы. Что там у нас еще, ЖКХ? По определению, ЖКХ – комплекс отраслей экономики, обеспечивающих функционирование жилых зданий. Комплекс! И здесь можно выделить объекты транспорта (трубопроводы водоснабжения и водоотведения, газопроводы), энергетики (электросети) и прчая. Опять все можно подвести под классификацию закона. Теперь о военных. Не покушайся на святое! АСУ управления войсками это не АСУ управления технологическими процессами. А закон именно о системах управления технологическими процессами. Для АСУ, которые используются в войсках есть свои требования, своя классификация и они четко выполняются. И связано это прежде всего с соблюдением гостайны, каковой в КИИ по определению нет.
vsv: Закон не говорит про АСУ ТП, он говорит про АСУ 🙂 В КИИ есть гостайна — посмотрите третий из законов, принятых пакетом. Он как раз касается гостайны.
Что же касается 122 постановления, то достаточно странно ссылаться на этот документ, не имеющий никакого отношения к обсуждаемому закону. Но даже если принять его за источник списка отраслей, то возникает множество других вопросов. Что такое ТЭК? Что такое металлургическая промышленность? Что такое оборонная и ракетно-космическая промышленность? Что такое атомная энергетика? Они есть в законе, но их нет в упомянутом постановлении. Зато там есть отдельная отрасль под названием "жилищно-коммунальное хозяйство". Так что это не я тень на плетень навожу…
Костантин: не путайте 🙂 Господин Атаманов призывал всю нормативку выбросить ввиду ее никчемности и начать все писать с нуля, учитывая его философию безопасности. Это во-первых. А во-вторых, я могу себе позволить критиковать, так как попытки внести предложения через рабочие группы не увенчались успехом — они были отвергнуты без объяснения причин. Поэтому я это и вынес на публику. А г-н Атаманов что-то предлагал авторам законопроекта или законодателям?
Алексей! Предлагал что либо, Геннадий или не предлагал это не правильный посыл, т.к. у него есть блоги множество работ где он высказывает свой концепт и подходы, к «с его точки зрения правильному тезаурусу», он не юрист, он не законодатель, он концептуалист и может выступать в роли консультанта группы разработчиков НПА, но не разработчиком. Мне кажется все наши беды от того, что законы пишут те, кто считает, что они и только они(!), при этом не являясь не юристом не законодателем.
А консультанты у них сейчас КТО? Знаете, как в том мультфильме: «вот и Вас посчитали!», и Вам обидно.
Согласен, посмотришь на наших юристов и законодателей и ……. имеем то что имеем!
Сразу скажу, я не знаю, как быть, но может кто-то знает, а может Атаманов, а может Лукацкий?
Алексей, про АСУ ТП. Внимательно читаем ст. 1 п. 1 закона: АСУ — комплекс программных и программно-аппаратных средств, предназначенных для контроля за ТЕХНОЛОГИЧЕСКИМ и(или) ПРОИЗВОДСТВЕННЫМ ОБРУДОВАНИЕМ и производимыми ими процессами, а также для управления такими оборудованием и процессами. Это в чистом виде именно АСУ ТП и АСУ управления войсками как-то слабо вяжется с этим определением. Так что закон именно об АСУ ТП.
Теперь о гостайне. Тот закон на который ты ссылаешься вносит изменения в закон о Гостайне и относит к сведениям, составляющим гостайну информацию о мерах по обеспечению безопасности КИИ и о состоянии из защищенности, но это не означает, что в КИИ обрабатывается информация, относимая к гостайне!
Про ЖКХ. Я не говорил, что это не отрасль, я говорил, что это КОМПЛЕКС отраслей (есть такое понятие комплексная отрасль)в которой можно вычленить и транспорт, и энергетику и пр.
Прочитал комментарий Вихорева – вот уж где софистика, так софистика! Это ж надо так суметь – «водоснабжение» засунуть в «транспорт». Если так же будет трактовать и ФСТЭК, вот это будет полная засада: как убедить директора, что «водоснабжение» и «водоотведение» (т.е. канализация) – это «транспорт»?
А как на счёт главного в статье – нестыковки в трактовке одного и того же термина в двух, практически, одновременно вышедших НПА и «недружбе» обоих со здравым смыслом, международной практикой [и наукой]?
Кстати, в составе информационной инфраструктуры предприятий водоснабжения и ЖКХ в подавляющем большинстве случаев обязательно будет гостайна. Может быть именно поэтому их и нет в обсуждаемом законе?
Константин: чтобы выступать консультантом группы разработчиков НПА, надо иметь на них выход и уметь с ними общаться, находить компромисс, принимать их достоинства и недостатки, четко осознавая, что консультанта ПРИГЛАШАЮТ высказывать свою точку зрения. Он не имеет права ее навязывать. А г-н Атаманов именно что навязывает, даже не пытаясь встать на другую сторону. Поэтому его и не приглашают.
vsv: Сергей Викторович, а вы можете мне показать определение АСУВ и определение "технологического процесса", чтобы я также трактовал эти термины, как и вы?
В КИИ может и часто обрабатывается гостайна. Не буду приводить примеры, думаю, вы их и сами должны знать. Только регулируется ее обработка другим законодательством. И никак это не связано с оборонкой. Вот вообще никак.
По приведенному вами постановлению ЖКХ — это именно отрасль. Никаких комплексов там нет. Не надо в свою пользу толковать то, что подходит вам, и отбрасыват то, что не подходит. Отрасли, указанные в законе о БКИИ, никак не связаны с действующей нормативной базой — авторы законы вообще мало смотрели на смежные и связанные области.
Атаманов Г.А.: согласно законодательству трубопроводы — это транспорт, как бы нелепо это не звучало.
Атаманов Г.А.: ЖКХ и водоснабжения нет по причине гостайны, а атомная энергетика и ОПК есть, потому что там нет гостайны? Интересная версия.
Алексей, извини, несколько дней был вне связи. Попробую ответить на твои вопросы. По поводу определения АСУ войсками и оружием. Смотри официальный сайт МО: http://encyclopedia.mil.ru/encyclopedia/dictionary/details.htm?id=12536%40morfDictionary, можно еще посмотреть здесь, у Рогозина: http://war_peace_terms.academic.ru/11/%D0%90%D0%92%D0%A2%D0%9E%D0%9C%D0%90%D0%A2%D0%98%D0%97%D0%98%D0%A0%D0%9E%D0%92%D0%90%D0%9D%D0%9D%D0%90%D0%AF_%D0%A1%D0%98%D0%A1%D0%A2%D0%95%D0%9C%D0%90_%D0%A3%D0%9F%D0%A0%D0%90%D0%92%D0%9B%D0%95%D0%9D%D0%98%D0%AF_%D0%92%D0%9E%D0%99%D0%A1%D0%9A%D0%90%D0%9C%D0%98_%28%D0%A1%D0%98%D0%9B%D0%90%D0%9C%D0%98_%D0%A4%D0%9B%D0%9E%D0%A2%D0%90%29_%28%D0%90%D0%A1%D0%A3%D0%92%29.
Смысл таков: АСУВ — взаимосвязанная совокупность средств автоматизированного сбора и обработки информации, передачи данных и связи, автоматизации процессов анализа и оценки обстановки, принятия решения, планирования, постановки и доведения задач до войск (сил флота), контроля их исполнения.
Теперь про АСУ ТП. Думаю, что более правильное определение дано в законе. Но можно еще посмотреть здесь:http://www.studfiles.ru/preview/3976636/. Смысл: АСУТП − это класс систем нижнего уровня в иерархии АИУС, который предназначен для контроля состояния, для выработки и реализации управляющих воздействий на технологический объект управления.
Если бы в КИИ обрабатывалась гостайна, то она бы подпадала под действие других требований. В системе управления технологическими процессами НЕ МОЖЕТ БЫТЬ гостайны. Именно потому, что к этим системам не применимы требования для гостайны и возникла необходимость этого закона.
По ЖКХ. Я еще раз говорю: я не говорил, что ЖКХ не отрасль. Только отрасли бывают разные. ЖКХ — комплексная отрасль. см. например https://ru.wikipedia.org/wiki/%D0%96%D0%B8%D0%BB%D0%B8%D1%89%D0%BD%D0%BE-%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D1%85%D0%BE%D0%B7%D1%8F%D0%B9%D1%81%D1%82%D0%B2%D0%BE_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8.
О том, что авторы не смотрели на смежные отрасли — согласен.
И еще. схема сети водоснабжения города миллионника — это гостайна, но сигналы управления заслонками в этой сети — это не гостайна…
Доброго времени суток.
Согласен про софистику и "притягивание за уши" водоснабжения и водоотведения к субъектам КИИ.
Насколько я могу судить ФСТЭК сам не ожидал что так получится и пока занял выжидательную позицию.
По поводу гос. тайны, в АСУТП гос. тайны нет, но меры по её защите подпадают под гриф, а под меры можно притянуть что угодно, вплоть до того, что закупки для целей защиты КИИ будут проходить на закрытых площадках.
Лично моё мнение, что до вступления в силу могут успеть подготовить поправки или попросить официального разъяснения от составителей и контролирующих органов, как трактовать данный закон тем, кто как объекты КИИ подпадает, но не подпадает под субъектов КИИ.
Nikita Gruzin пишет:
1) «… ФСТЭК сам не ожидал что так получится …»
Из анализа комментариев г-на Вихорева вытекает обратное – это сделано вполне сознательно;
2) «в АСУТП гос. тайны нет»
В водоканалах городов, подпадающих под перечень, есть! АСУ ТП водоснабжения строятся на базе ГИС (геоинформационных систем), которые однозначно относятся к гостайне;
3) «до вступления в силу могут успеть подготовить поправки»
Если закон ещё до вступления в силу требует внесения поправок и разъяснений – это ОЧЕНЬ ПЛОХОЙ закон и тогда все, кто был причастен к его разработке и принятию, должны быть жестоко наказаны.
Алексей Лукацкий: «согласно законодательству трубопроводы – это транспорт».
Алексей, а подскажите, пожалуйста, в каком документе это написано. Перерыл массу литературы, но нашёл только:
водоснабжение – водоподготовка, транспортировка и подача питьевой или технической воды абонентам (416-ФЗ "О водоснабжении и водоотведении");
водоснабжение – совокупность мероприятий по обеспечению водой различных её потребителей (словари).
Ну "трубопроводный транспорт" — это устоявшийся термин во многих НПА. Пока для этого вида транспорта нет отдельного закона (как у воздушного, морского и т.п.), но есть законопроект "О магистральном трубопроводном транспорте", в котором и финализируется связь трубопроводов и транспорта.