В своей предыдущей статье «Операторы инвестиционных платформ. КИИ или не КИИ?» мы сделали аргументированный вывод о том, что операторы инвестиционных платформ, то есть, держатели сервисов краудфандинга (назовем нас ОИП), как бы это оптимистично это не звучало – являются объектами критической информационной инфраструктуры (далее – ОКИИ, КИИ).
«Ну и что?» спросят наши уважаемые пользователи, участники краудфандинга, инвесторы и заемщики… «Два вас – ничего, товарищи дорогие!» ответим мы им. Требования к ОИП по критичности, на деятельности пользователей отразятся только в одном случае – когда платформу закроют за неисполнение федерального законодательства. Во всех остальных случаях инвесторы и заёмщики изучать положения федерального законодательства и волноваться за критичность платформы могут исключительно из чистой любознательности, либо по причине крайне запущенной формы мазохизма. Ну не должны инвесторов и заемщиков беспокоить неукоснительная жесткость требований 187-ФЗ от 26.07.2017 «О безопасности КИИ РФ» и неизбежность взысканий по Статье 274.1 Уголовного кодекса РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Это головная боль и исключительная обязанность самого оператора инвестиционной платформы.
И вот тут по незнанию, внутренний голос может начать подсказывать сомнительные мысли. Типа «Ну да, ты ОИП. И да – ты КИИ. И третий раз да – есть ответственность (уголовная, Карл!). Но тебе нужно всего лишь ничего не делать и тебя не привлекут за тяжкое преступление против человечества». Не верьте ему, коллеги мои операторы! Этот голос ведет в болото серьезных неприятностей.
С уверенностью это говорю, поскольку в нашей компании, операторе инвестиционной платформы ЭЛЕВАТОР, помимо иных, привычных всем служб, есть служба не совсем стандартная для ОИП – служба информационной безопасности. Изучив вопрос глубже, и с замахом на экспертную оценку, мы можем констатировать следующее:
Прежде всего, руководствуясь глубоким анализом положений Постановления Правительства РФ от 08.02.2018 №127-ПП «Об утверждении правил категорирования ОКИИ РФ» и Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в отношении ОИП следует сделать опережающее суждение:
- о безусловной принадлежности ОИП к ОКИИ и вытекающем отсюда обязательном исполнении ОИП требований 187-ФЗ и Приказа ФСТЭК № 239,
- о возможной принадлежности ОИП к категории незначимый КИИ по совокупности процессов, протекающих в пределах такого ОИП.
Ура! Похоже незначимый! Но это не отменяет для ОИП определенных действий в исполнении действующего законодательства. И не только не отменят, но и обязует произвести некоторые действия. К таким действиям незначимого КИИ следует отнести:
Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по бизнес-процессам. Такой специалист по бизнес-процессу знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Такое компетентное уполномоченное лицо должно быть в составе комиссии для присвоения правильной категории значимости процессу.
Второй этап. На этом этапе собираются исходные данные, проводится пред проектное обследование инфраструктуры ОИП. Выпускается Технический акт проведенного обследования и на основании полученных данных комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры в составе ОИП, подлежащих категорированию, и присваивает категорию значимости. Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем ОИП, как субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости.
Третий этап. Выполнение требований по обеспечению безопасности значимых объектов КИИ, применительно к себе – оператору инвестиционной платформы.
Не вдаваясь в детали, перечислим ключевые стадии по обеспечению безопасности объектов КИИ:
- разработка технического задания;
- разработка модели угроз информационной безопасности;
- разработка рабочей документации;
- закупка средств защиты информации
- ввод в действие.
Заметим - в случае, если по результатам категорирования ОИП, как ОКИИ будет присвоена категория незначимый, то в третьем этапе необходимо будет исполнить лишь дефис второй – подготовка и выпуск модели угроз. И то, в случае, если ваш сервис работает на уже защищенных серверах. Иначе – смотри выше и начинай читать дефисы сначала, потому что ни все твои.
Так же важно – каким бы значимым не оказался ОИП, незначимым или первой категорией значимости (Ну мало ли?! А вдруг в Кремле есть свой краудфандинг?) отчет о своей работе и документы, полученные в результате такой работы, должны быть направлены во ФСТЭК РФ для согласования и внесения в Реестр КИИ РФ. В ином случае – это все равно что вы ничего не делали. Старший брат всегда наблюдает…
Теперь о надвигающемся: государственный контроль в области обеспечения безопасности значимых объектов КИИ осуществляется ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений.
Плановые проверки проводятся:
- по истечению 3-х лет со дня внесения сведений об объекте КИИ в реестр;
- по истечению 3-х лет со дня осуществления последней плановой проверки.
Внеплановые проверки будут проводиться в случае:
- по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
- возникновения компьютерного инцидента, повлекшего негативные последствия;
- по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
Так что, не боясь перегнуть, тут следовало бы рассуждать не о «придут или нет», а исключительно о «когда придут».
Для общего понимания нужно сказать, что все перечисленные этапы могут быть исполнены самим владельцем КИИ. То есть – оператором инвестиционной платформы. Однако в таком случае в штате ОИП необходимо иметь специалиста по информационной безопасности, обладающего необходимыми знаниями и прошедшего специальное обучение, как это сделано у нас в ЭЛЕВАТОРЕ. Это конечно же не обязательное требование нормативных документов, но отсутствие такого специалиста заведомо исключает безошибочное исполнение 187-ФЗ и приказов ФСТЭК.
Ну и в завершение «на горькое» - выдержка из Статьи 274.1 УК РФ:
«Указанные нарушения могут повлечь наказание в виде лишения свободы сроком от 2 до 5 лет, а тоже деяние, повлёкшее тяжкие последствия – лишение свободы до 10 лет.»
Думайте сами, решайте сами…
Будем рады вашим откликам и вашему мнению по такому важному вопросу.
Подписывайтесь на наш Телеграм-канал. Будьте в курсе!
С уважением,
Команда инвестиционной платформы ЭЛЕВАТОР
