В условиях подмены научно или даже логически обоснованных терминов «закольцованными» понятиями выполнить требования законодательства о безопасности критической информационной инфраструктуры «с наскока» без ошибок не удастся ни организаторам, ни исполнителям, ни контролёрам.
Тенденция на «презумпцию виновности» кратно увеличивает у одних страх совершить непоправимую ошибку, у других – тягу к безнаказанному «творческому» проявлению власти.
Последовательность действий и терминология, которые предлагает автор, поможет аргументированно избежать ошибок при определении принадлежности к субъектам критической информационной инфраструктуры.
В рассуждениях будем придерживаться следующей логики:
Инфраструктура – это единый государственный комплекс.
Критическая и некритическая инфраструктура – части этого комплекса.
В состав инфраструктуры в виде подсистем входят субъекты экономики и жизнеобеспечения, разделённые по отраслевому признаку.
Субъекты используют принадлежащие объекты для получения результата.
Для получения результата используются часть размещенных на объектах информационных ресурсов, которые автоматизируют влияющие на результат процессы.
Для взаимодействия субъектов, принадлежащих им объектов и информационных ресурсов на объектах, используются объекты связи.
Нарушение работы объектов связи или части информационных ресурсов, используемых для автоматизации процессов (операций), приводит к неприемлемому для субъекта ущербу Некоторые значения ущерба делают его неприемлемым не только для субъекта, но и для государства.
Причинение ущерба возникает в результате субъективных воздействий с использованием информационных технологий, приводящих к нарушению работы объектов связи или части информационных ресурсов.
Субъективное воздействие с использованием информационных технологий - вид деструктивного воздействия, которое противник (нарушитель) применяет для уничтожения (подавления) объектов и причинения ущерба.
Предотвращение ущерба, вызванного субъективным воздействием с использованием информационных технологий - это часть работ в области антитеррористической защищенности, ядерной, радиационной, промышленной, энергетической, транспортной, экологической, экономической, информационной безопасности.
I. Определение принадлежности непосредственно влияет на необходимость или отсутствие необходимости выполнения требований законодательства.
К решению этого вопроса целесообразно привлечь кураторов, владельцев и методологов групп процессов и сквозных процессов, или, если процессная модель не утверждалась, - заместителей руководителя, руководителей департаментов, начальников структурных подразделений, которые персонально отвечают за финансово-экономические результаты организации.
Подготовьтесь к «переводу стрелок» между «безопасниками» и «айтишниками» – сбережёте нервы и время.
Привлечение позволит определить:
а) прямые признаки принадлежности организации к критической инфраструктуре:
– наличие в организации опасных объектов или объектов с категорией по гражданской обороне;
– требование о работе организации при военных конфликтах и чрезвычайных ситуациях;
– отнесение организации к субъектам экономики или жизнеобеспечения;
б) косвенные признаки принадлежности:
– взаимозависимость согласно налоговому законодательству хотя бы с одной организацией критической инфраструктуры;
– зависимость организации критической инфраструктуры от вашей организации.
II. Важность, она же значимость, объекта определяется опасностью ущерба. В зависимости от значимости объекту присваивается категория (класс) по гражданской обороне, антитеррористической защищенности, ядерной, радиационной, промышленной, транспортной безопасности, безопасности гидротехнических сооружений, связи и т.п.
Категория (класс) свидетельствует о наличии у объектов «признаков значимости» для экономики или для жизнеобеспечения, а для противника (нарушителя) - признаком первоочередного подавления или уничтожения.
III. ФСТЭК России от 28.07.2024 утвердила «Рекомендации по структуре и содержанию методических указаний (рекомендаций), регламентирующих особенности категорирования объектов критической информационной инфраструктуры и присвоения им категорий значимости в установленной сфере».
Рекомендации указывают на необходимость определения отраслевых признаков значимости объектов КИИ.
Согласно Правилам подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации, утвержденным постановлением Правительства РФ от 13.08.97 № 1009, и согласно приказу Минюста России от 31.08.2023 № 222 нормативно правовые акты издаются только «в виде постановлений, приказов, правил, инструкций и положений, если иное не предусмотрено законодательством... Акты, издаваемые в ином виде, не должны содержать предписания нормативно-правового характера… Акты рекомендательного характера не могут содержать предписания нормативно-правового характера».
Предположим, что проведённая экспертиза «Рекомендаций...» согласно утверждённой постановлением Правительства РФ от 26.02.2010 № 96 Методикой проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов не выявила такие факторы.
Соответственно:
– нельзя считать рекомендации нормативным правовым актом;
– нельзя руководствоваться неопубликованными рекомендациями;
– нельзя определить отраслевые признаки значимости при отсутствии методики;
– значимость объекта КИИ зависит от значимости объекта критической инфраструктуры, на котором он используется, и определяется смыслом терминов «объект КИИ» и «значимый объект КИИ».
IV. Организация, которая владеет объектами критической инфраструктуры, имеющими признаки значимости, будет относиться к субъектам КИИ, если одновременно будет удовлетворять условиям:
– на принадлежащих объектах критической инфраструктуры размещены информационные ресурсы;
– размещенные информационные ресурсы применяются для автоматизации процессов, от которых зависит значимость объекта критической инфраструктуры;
– перевод автоматизированных процессов в «ручной» режим приведёт к снижению запланированных показателей;
– информационные ресурсы, без которых невозможно достичь запланированных показателей, имеют доступные для субъективных воздействий интерфейсы.
При наличии таких условий, у информационных ресурсов возникают признаки объектов КИИ.
Для устранения признаков отнесения организации к субъектам КИИ, а информационных ресурсов – к объектам КИИ, необходимо устранить совокупность условий, приведшую к появлению этих признаков.
Устранение целесообразно выполнить до первого этапа проектирования создаваемого или до начала категорирования уже принятого в эксплуатацию информационного ресурса.
V. Для предотвращения ошибок при определении принадлежности к субъектам критической информационной инфраструктуры предлагается последовательно ответить на вопросы:
1. К какому виду субъектов относится организация («Да» или «Нет»):
а) орган государственной власти (исполнительной, законодательной и судебной);
б) организация - участник платежной системы согласно Положению Банка России от 24.09.2020 № 732-П) или системно значимая кредитная организация согласно Информационному сообщению Банка России от 11.10.2021;
в) федеральное государственное унитарное предприятие или акционерное общество, выпускающее стратегическую продукцию согласно Указу Президента РФ от 04.08.2004 №1009;
г) организация ядерно-оружейного комплекса в ведении Госкорпорации «Росатом» согласно приложению №2 к Указу Президента РФ от 27.04.2007 №556;
д) организация - собственник объектов использования атомной энергии согласно приложениям № 3 и № 4 к Указу Президента РФ от 27.04.2007 №556;
д) федеральное государственное унитарное предприятие или акционерное общество, имеющее стратегическое значение для оборонно-промышленного комплекса и безопасности согласно распоряжению Правительства РФ от 25.12.2018 №2930-р;
е) стратегическая организация, обеспечивающая реализацию единой государственной политики в отраслях экономики согласно распоряжению Правительства РФ от 20.08.2009 №1226-р;
ж) организация, использующая согласно уставу и лицензиям критические технологии, утверждённые распоряжением Правительства РФ от 14.07.2012 №1273-р;
з) организацией из состава сил и средств Единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций согласно постановлению Правительства РФ от 8.11.2013 №1007.
2. Деятельность организации (перечислить):
а) основной и дополнительные виды деятельности согласно выписке из Единого государственного реестра юридических лиц;
б) деятельность согласно учредительным (устав, учредительный договор) и разрешительным (лицензии, патенты, сертификаты и т.д.) документам;
в) деятельность по управлению в составе отраслевых (ведомственных) функций, функций органов власти.
3. Субъекты, зависимые от деятельности организации (перечислить):
а) «взаимозависимые» лица по налоговому законодательству;
б) субъекты, осуществляющие деятельность:
– в сфере здравоохранения;
– в сфере науки
– в сфере транспорта
– в сфере связи
– в сфере энергетики;
– в сфере государственной регистрации прав на недвижимое имущество и сделок с ним,
– в банковской сфере и иных сферах финансового рынка;
– в сфере топливно-энергетического комплекса;
– в области оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;
в) субъекты, обеспечивающие взаимодействие систем или сетей, которые принадлежат субъектам в указанных сферах или областях деятельности;
г) субъекты, выполняющие функции управления в отрасли (ведомстве) или функции органов власти.
4. Сопоставить, какая деятельность из указанной по пункту 2 оказывает на результаты деятельности субъектов из указанных по пункту 3 («деятельность – субъект»).
5. Какие объекты использует организация (перечислить):
а) объекты, оказывающие существенное влияние на социально-экономическое развитие государства, субъекта Российской Федерации, муниципальных районов, поселений, городских округов согласно пунктов 18, 19, 20 статьи 1 Градостроительного кодекса РФ от 29.12.2004 № 190-ФЗ:
– объекты федерального значения;
– объекты регионального значения;
– объекты местного значения;
б) особо опасные, технически сложные или уникальные объекты согласно Градостроительному кодексу РФ от 29.12.2004 № 190-ФЗ, в том числе согласно Федеральным законам от 21.11.1995 № 170-ФЗ «Об использовании атомной энергии», от 20.08.1993 № 5663-1 «О космической деятельности», от 10.01.2003 № 17-ФЗ «О железнодорожном транспорте в Российской Федерации» и в соответствии с «Воздушным кодексом Российской Федерации» от 19.03.1997 № 60-ФЗ;
в) объекты капитального строительства, определённые приказом ФАУ «Главгосэкспериза России» от 22.08.2016 №51.
6. Какие виды объектов использует организация (перечислить):
а) объекты производственного назначения (здания, строения, сооружения производственного назначения, в том числе объекты обороны и безопасности), за исключением линейных объектов;
б) объекты непроизводственного назначения (здания, строения, сооружения жилищного фонда, социально-культурного и коммунально-бытового назначения, а также иные объекты капитального строительства непроизводственного назначения);
в) линейные объекты (трубопроводы, автомобильные и железные дороги, линии электропередачи и др.).
7. На какие объекты из указанных по пункту 6 распространяется «право экстерриториальности» (перечислить):
а) объекты, которые находятся на территории (акватории) государства;
б) объекты, которые находятся на иных территориях, над которыми государство осуществляет юрисдикцию в соответствии с национальным законодательством и нормами международного права.
8. Каков адрес размещения каждого объекта (индекс, область, район, населенный пункт, улица, дом, корпус).
9. Какие из объектов, используемых организацией, принадлежат ей:
а) на праве собственности;
б) на праве аренды;
в) на ином законном основании (каком).
10. От деятельности каких арендодателей зависит функционирование объектов, арендуемых организацией. Оценить, является ли арендуемый объект объектом критической инфраструктуры арендодателя.
11. Какую деятельность осуществляет организация на каждом принадлежащем ей объекте (перечислить).
12. Прекращение каких из перечисленных процессов приведёт к нарушению деятельности на каждом объекте, принадлежащем организации («Да» или «Нет»):
а) электроснабжение;
б) теплоснабжение и вентиляция;
в) водоснабжение;
г) охрана и правопорядок (контроль за доступом физических лиц и их поведением в здания, сооружения, помещения, к системам электро-, тепло-, водоснабжения и вентиляции, к противоаварийным системам, к системам защиты от чрезвычайных ситуаций, к складским запасам, к системам, автоматизирующим управленческую и производственную деятельность);
д) гражданская оборона и защита от чрезвычайных ситуаций, в том числе противоаварийная защита;
е) связь, телекоммуникации;
ж) складирование и транспортировка сырья, полуфабрикатов и готовой продукции;
з) управление устройствами, оборудованием противоаварийной автоматики;
и) технологические и производственные процессы;
к) управленческие и финансово-экономические процессы (деятельность в составе отраслевых функций).
13. К какому ущербу приведёт прекращение или нарушение деятельности на каждом принадлежащем организации объекте:
а) согласно категориям (классам), присвоенным объектам:
– в области антитеррористической защищенности,
– в области ядерной безопасности;
– в области радиационной безопасности;
– в области промышленной безопасности;
– в области гражданской обороны и предупреждения чрезвычайных ситуаций;
– в области экологической безопасности;
– в области транспортной безопасности;
– в области безопасности топливно-энергетического комплекса;
– в области безопасности гидротехнических сооружений.
– в области профессионального риска.
б) согласно декларациям промышленной безопасности, паспортам безопасности (прим. –утратил силу согласно постановлению Правительства РФ от 11.07.2020 № 1034); анализу опасностей и оценки риска аварий на опасных производственных объектах; технологическим инструкциям; публичным годовым отчетам субъекта (в части рисков); отчетам по экологической безопасности и другим документам, содержащим данные о возникновении, развитии и последствиях опасных ситуаций.
14. Какие из процессов, приводящих к нарушению деятельности на каждом объекте, приведут к ущербам и будут определяться, как «критические процессы» (перечислить).
15. Относится ли организация:
– к субъектам экономики;
– к субъектам жизнеобеспечения;
– к субъектам, взаимозависимым по налоговому законодательству с субъектами экономики или субъектами жизнеобеспечения.
– к субъектам, от результатов производственной (технологической) деятельности которого зависят результаты деятельности субъектов экономики или субъектов жизнеобеспечения;
– к субъектам, выполняющим функции управления (деятельность в составе отраслевых (ведомственных) функций, функций органов власти) в отношении субъектов экономики или субъектов жизнеобеспечения.
16. Какие информационные ресурсы (АС, ИС, ИТКС, АСУ, АСУ ТП, линии оборудования с ЧПУ, а также иные специализированные системы) находятся на объекте согласно результатам инвентаризации (перечислить).
17. Какие информационные ресурсы на объекте взаимодействуют с информационными ресурсами других субъектов.
18. Какие информационно-телекоммуникационные сети и (или) сети связи используются для взаимодействия (перечислить):
а) информационных ресурсов, размещенных на объекте;
б) информационных ресурсов, размещенных на разных объектах;
в) информационных ресурсов субъекта с информационными ресурсами других субъектов.
19. Какие компоненты информационной инфраструктуры (информационные ресурсы, информационно-телекоммуникационные сети, сети связи), размещенные на объектах, принадлежат организации по праву собственности, аренды или на ином законном основании (перечислить).
20. Какие принадлежащие организации компоненты информационной инфраструктуры, размещенные на объектах, автоматизируют критические процессы (имеют признак объектов критической информационной инфраструктуры), перечислить.
21. Какие компоненты, имеющие признак объектов критической информационной инфраструктуры, можно отключить и перевести критический процесс в «ручной режим» без причинения ущерба (срыв плановых показателей, опасные неприемлемые ситуации для субъекта, для «взаимозависимых лиц», или субъектов, использующих компоненты для взаимодействия своих систем и сетей), перечислить.
22. Какие компоненты, имеющие признак объектов критической информационной инфраструктуры, содержат интерфейсы, позволяющие осуществить субъективное воздействие с использованием информационных технологий (перечислить в виде «компонент – интерфейсы»).
23. Применимо ли к организации одновременное выполнение следующих условий:
а) организация осуществляет деятельность в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, или обеспечивает взаимодействие систем или сетей, принадлежащих другим субъектам, осуществляющим деятельность в указанных сферах или областях;
б) организация на праве собственности, аренды или на ином законном основании, принадлежит хотя бы один компонент информационной инфраструктуры, имеющий признаки объекта критической информационной инфраструктуры.
Автор – Нефедьев С.Г.
Другие публикации автора
О цифровизации, цифровой трансформации и частичной мобилизации