Pages - Menu

Страницы

09.08.2017

Закон по БКИИ. Терминологический тупик

В утвержденных СовБезом в 2012-м году основах госполитики в области безопасности АСУ ТП КВО дается такое определение критической информационной инфраструктуры: "критическая информационная инфраструктура Российской Федерации - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий". Можно дисскутировать на тему, хорошее это определение или нет, но оно характеризуется тем, что обозначает критическую инфраструктуру как совокупность АСУ ТП и связывающих их сетей, находящихся в разных секторах экономики и имеющих значение для обороны и безопасности страны.

В утвержденной в День Победы Стратегии развития информационного общества дается иное определение: "критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой". Вроде и тут есть совокупность объектов и связывающих их сетей, но почему-то исключена привязка к назначению этих объектов, как это было сделано в определении выше. Вроде мелочь, но если посмотреть на определение объекта критической информационной инфраструктуры, то мы увидим, что именно там сделана ключевая ошибка, которая загнала авторов закона "О безопасности критической информационной инфраструктуры" в тупик, из которого уже не выбраться. Мы стали заложниками совершенно дурацкого термина, противоречащего не только здравому смыслу, но и международной практике.

В Стратегии говорится, что "объекты критической информационной инфраструктуры - информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности". То есть, объект КИИ - это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана :-) Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.

Самое главное, что это же определение перекочевало в закон "О безопасности критической информационной инфраструктуры", потянув за собой весь ворох проблем и задавая тон будущим проблемам - при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов "критическая информационная инфраструктура", "объект КИИ" и "субъект КИИ". КИИ - это объекты (уже без совокупности) и сети, их связывающие. Объекты - это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).


Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР - это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями - нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.

Но это не все терминологические гримасы нового закона. Проблема с термином "КИИ", "объект КИИ" и "субъект КИИ" привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина "критическая инфраструктура" (если следовать западной терминологии) или "критически важный объект" (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.


К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев - социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только "рады"; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.

И я вновь задаю риторический вопрос: "Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?" и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но... Упускается из виду описанная выше трехуровневая иерархия "КИИ - объект КИИ - субъект КИИ". Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется "критическая" отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы - это часть транспортной системы, которая включена в сферу действия закона о БКИИ.

Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.

ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..

16 комментариев:

  1. Это далеко не первый ФЗ с размытой терминологией и туманными формулировками. Вполне возможно, что это делается сознательно: в таком виде закон невозможно ни до конца понять, ни до конца выполнить. На кого он распространяется тоже сложно разобраться. Следовательно, применяться он будет так, как кажется правильным регуляторам, гибко и избирательно. Творчески :)
    Что-то я не видел ни одного документа, разработанного 8-м центром, в котором бы содержались четкие и однозначные формулировки и требования. Да что 8-й центр... Взять хотя бы термин "персональные данные" - вот где простор для творчества должностных лиц!

    ОтветитьУдалить
  2. Алексей, вот как интересно Вы все это написали, но вроде как я это уже где-то слышал призывы к пересмотру и упорядочению терминологии, а не у господина Атаманова ли, и Вы за это его ….. , ну скажем, критиковали. Да, кстати, а термин то почему «дурацкий», может все-таки определение?

    ОтветитьУдалить
  3. про персональные данные поддержу, особенно после последних введений типа -куки))))) и истерии после этого.
    Леруа мурлен теперь постоянно спрашивает про эти куки.

    ОтветитьУдалить
  4. Алексей, зачем ты опять ищешь черную кошку в темной комнате, тем более что ее там нет? Зачем ты опять будоражишь умы софистикой, а не проблемами? Не надо путать людей. Надо им разъяснять! Начнем с «ВОДОСНАБЖЕНИЯ». Если посмотреть внимательно Постановление Госкомстата от 21.05.2002 № 122, то там указано 68 (!) отраслей экономики с кодами ОКОНХ. Но там НЕТ ТАКОЙ ОТРАСЛИ как ВОДОСНАБЖЕНИЕ. Это не отрасль, поэтому и в перечень в законе не вошла. По определению, отрасль – совокупность предприятий, производящих (добывающих) однородную или специфическую продукцию. Теперь разберем по частям, что в ходит в это «водоснабжение». Ты правильно отметил, что водохранилища и гидросооружения скорее всего относятся к отрасли энергетики. Кроме того, водохранилища, да и реки, шлюзы и прочая тоже, еще и относятся к отрасли водного транспорта, а это подотрасль транспорта, которая прописана в законе. Сюда же относятся и трубопроводы (ты это сам отметил) и водозаборные и водоочистные сооружения, насосные станции, так как это все «трубопроводный транспорт» или просто транспорт. Кстати, и канализация – трубопроводный транспорт! Так что все эти объекты МОГУТ быть прокатегорированы. Что там у нас еще, ЖКХ? По определению, ЖКХ – комплекс отраслей экономики, обеспечивающих функционирование жилых зданий. Комплекс! И здесь можно выделить объекты транспорта (трубопроводы водоснабжения и водоотведения, газопроводы), энергетики (электросети) и прчая. Опять все можно подвести под классификацию закона. Теперь о военных. Не покушайся на святое! АСУ управления войсками это не АСУ управления технологическими процессами. А закон именно о системах управления технологическими процессами. Для АСУ, которые используются в войсках есть свои требования, своя классификация и они четко выполняются. И связано это прежде всего с соблюдением гостайны, каковой в КИИ по определению нет.

    ОтветитьУдалить
  5. vsv: Закон не говорит про АСУ ТП, он говорит про АСУ :-) В КИИ есть гостайна - посмотрите третий из законов, принятых пакетом. Он как раз касается гостайны.

    Что же касается 122 постановления, то достаточно странно ссылаться на этот документ, не имеющий никакого отношения к обсуждаемому закону. Но даже если принять его за источник списка отраслей, то возникает множество других вопросов. Что такое ТЭК? Что такое металлургическая промышленность? Что такое оборонная и ракетно-космическая промышленность? Что такое атомная энергетика? Они есть в законе, но их нет в упомянутом постановлении. Зато там есть отдельная отрасль под названием "жилищно-коммунальное хозяйство". Так что это не я тень на плетень навожу...

    ОтветитьУдалить
  6. Костантин: не путайте :-) Господин Атаманов призывал всю нормативку выбросить ввиду ее никчемности и начать все писать с нуля, учитывая его философию безопасности. Это во-первых. А во-вторых, я могу себе позволить критиковать, так как попытки внести предложения через рабочие группы не увенчались успехом - они были отвергнуты без объяснения причин. Поэтому я это и вынес на публику. А г-н Атаманов что-то предлагал авторам законопроекта или законодателям?

    ОтветитьУдалить
  7. Алексей! Предлагал что либо, Геннадий или не предлагал это не правильный посыл, т.к. у него есть блоги множество работ где он высказывает свой концепт и подходы, к «с его точки зрения правильному тезаурусу», он не юрист, он не законодатель, он концептуалист и может выступать в роли консультанта группы разработчиков НПА, но не разработчиком. Мне кажется все наши беды от того, что законы пишут те, кто считает, что они и только они(!), при этом не являясь не юристом не законодателем.
    А консультанты у них сейчас КТО? Знаете, как в том мультфильме: «вот и Вас посчитали!», и Вам обидно.
    Согласен, посмотришь на наших юристов и законодателей и ……. имеем то что имеем!
    Сразу скажу, я не знаю, как быть, но может кто-то знает, а может Атаманов, а может Лукацкий?

    ОтветитьУдалить
  8. Алексей, про АСУ ТП. Внимательно читаем ст. 1 п. 1 закона: АСУ - комплекс программных и программно-аппаратных средств, предназначенных для контроля за ТЕХНОЛОГИЧЕСКИМ и(или) ПРОИЗВОДСТВЕННЫМ ОБРУДОВАНИЕМ и производимыми ими процессами, а также для управления такими оборудованием и процессами. Это в чистом виде именно АСУ ТП и АСУ управления войсками как-то слабо вяжется с этим определением. Так что закон именно об АСУ ТП.
    Теперь о гостайне. Тот закон на который ты ссылаешься вносит изменения в закон о Гостайне и относит к сведениям, составляющим гостайну информацию о мерах по обеспечению безопасности КИИ и о состоянии из защищенности, но это не означает, что в КИИ обрабатывается информация, относимая к гостайне!
    Про ЖКХ. Я не говорил, что это не отрасль, я говорил, что это КОМПЛЕКС отраслей (есть такое понятие комплексная отрасль)в которой можно вычленить и транспорт, и энергетику и пр.

    ОтветитьУдалить
  9. Прочитал комментарий Вихорева – вот уж где софистика, так софистика! Это ж надо так суметь – «водоснабжение» засунуть в «транспорт». Если так же будет трактовать и ФСТЭК, вот это будет полная засада: как убедить директора, что «водоснабжение» и «водоотведение» (т.е. канализация) – это «транспорт»?
    А как на счёт главного в статье – нестыковки в трактовке одного и того же термина в двух, практически, одновременно вышедших НПА и «недружбе» обоих со здравым смыслом, международной практикой [и наукой]?

    ОтветитьУдалить
  10. Кстати, в составе информационной инфраструктуры предприятий водоснабжения и ЖКХ в подавляющем большинстве случаев обязательно будет гостайна. Может быть именно поэтому их и нет в обсуждаемом законе?

    ОтветитьУдалить
  11. Константин: чтобы выступать консультантом группы разработчиков НПА, надо иметь на них выход и уметь с ними общаться, находить компромисс, принимать их достоинства и недостатки, четко осознавая, что консультанта ПРИГЛАШАЮТ высказывать свою точку зрения. Он не имеет права ее навязывать. А г-н Атаманов именно что навязывает, даже не пытаясь встать на другую сторону. Поэтому его и не приглашают.

    ОтветитьУдалить
  12. vsv: Сергей Викторович, а вы можете мне показать определение АСУВ и определение "технологического процесса", чтобы я также трактовал эти термины, как и вы?

    В КИИ может и часто обрабатывается гостайна. Не буду приводить примеры, думаю, вы их и сами должны знать. Только регулируется ее обработка другим законодательством. И никак это не связано с оборонкой. Вот вообще никак.

    По приведенному вами постановлению ЖКХ - это именно отрасль. Никаких комплексов там нет. Не надо в свою пользу толковать то, что подходит вам, и отбрасыват то, что не подходит. Отрасли, указанные в законе о БКИИ, никак не связаны с действующей нормативной базой - авторы законы вообще мало смотрели на смежные и связанные области.

    ОтветитьУдалить
  13. Атаманов Г.А.: согласно законодательству трубопроводы - это транспорт, как бы нелепо это не звучало.

    ОтветитьУдалить
  14. Атаманов Г.А.: ЖКХ и водоснабжения нет по причине гостайны, а атомная энергетика и ОПК есть, потому что там нет гостайны? Интересная версия.

    ОтветитьУдалить
  15. Алексей, извини, несколько дней был вне связи. Попробую ответить на твои вопросы. По поводу определения АСУ войсками и оружием. Смотри официальный сайт МО: http://encyclopedia.mil.ru/encyclopedia/dictionary/details.htm?id=12536%40morfDictionary, можно еще посмотреть здесь, у Рогозина: http://war_peace_terms.academic.ru/11/%D0%90%D0%92%D0%A2%D0%9E%D0%9C%D0%90%D0%A2%D0%98%D0%97%D0%98%D0%A0%D0%9E%D0%92%D0%90%D0%9D%D0%9D%D0%90%D0%AF_%D0%A1%D0%98%D0%A1%D0%A2%D0%95%D0%9C%D0%90_%D0%A3%D0%9F%D0%A0%D0%90%D0%92%D0%9B%D0%95%D0%9D%D0%98%D0%AF_%D0%92%D0%9E%D0%99%D0%A1%D0%9A%D0%90%D0%9C%D0%98_%28%D0%A1%D0%98%D0%9B%D0%90%D0%9C%D0%98_%D0%A4%D0%9B%D0%9E%D0%A2%D0%90%29_%28%D0%90%D0%A1%D0%A3%D0%92%29.

    Смысл таков: АСУВ - взаимосвязанная совокупность средств автоматизированного сбора и обработки информации, передачи данных и связи, автоматизации процессов анализа и оценки обстановки, принятия решения, планирования, постановки и доведения задач до войск (сил флота), контроля их исполнения.

    Теперь про АСУ ТП. Думаю, что более правильное определение дано в законе. Но можно еще посмотреть здесь:http://www.studfiles.ru/preview/3976636/. Смысл: АСУТП − это класс систем нижнего уровня в иерархии АИУС, который предназначен для контроля состояния, для выработки и реализации управляющих воздействий на технологический объект управления.

    Если бы в КИИ обрабатывалась гостайна, то она бы подпадала под действие других требований. В системе управления технологическими процессами НЕ МОЖЕТ БЫТЬ гостайны. Именно потому, что к этим системам не применимы требования для гостайны и возникла необходимость этого закона.

    По ЖКХ. Я еще раз говорю: я не говорил, что ЖКХ не отрасль. Только отрасли бывают разные. ЖКХ - комплексная отрасль. см. например https://ru.wikipedia.org/wiki/%D0%96%D0%B8%D0%BB%D0%B8%D1%89%D0%BD%D0%BE-%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D1%85%D0%BE%D0%B7%D1%8F%D0%B9%D1%81%D1%82%D0%B2%D0%BE_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8.

    О том, что авторы не смотрели на смежные отрасли - согласен.

    ОтветитьУдалить
  16. И еще. схема сети водоснабжения города миллионника - это гостайна, но сигналы управления заслонками в этой сети - это не гостайна...

    ОтветитьУдалить