Новостные сообщения о «ракетных ударах по объектам критической инфраструктуры» стали обыденностью. Формулировка «объект критической инфраструктуры» приелась, набила оскомину, но стоит только спросить о смысле формулировки, как возникает ступор.
Возьмём в помощь Интернет, набираем в российском поисковике словосочетание «критическая инфраструктура – это» и видим ссылки исключительно на терминологию и требования Федерального закона о безопасности критической информационной инфраструктуры. Алгоритмы поисковика отождествляют критическую инфраструктуру с критической информационной.
Открываем КонсультантПлюс и видим аналогичный результат – поисковик выдаёт ссылки на Федеральный закон о безопасности КИИ и подзаконные акты.
После обращения к тем, кто категорирует объекты КИИ, понимаем, что и они не способны помочь, так как не умеют выходить за границы понятий закона.
После разъяснений юристов становится понятным, что в законодательстве вместо инфраструктуры, в состав которой входит критическая, рассматривается нескольких видов инфраструктур, из которых к критической относится только одна – информационная.
Обращаемся через службу обращений для граждан к законодателю – ответ в течение полугода («в установленном законодательством порядке») не приходит.
Неужели ответ на вопрос о том, что такое "критическая инфраструктура", отсутствует?
В этом случае, если ракетные удары наносятся по объектам, смысловое определение которых отсутствует, то и сами удары по логике становятся бессмысленными. Но тогда насколько вменяемы те, кто управляет такими бессмысленными ударами?
Говоря об одном, понимая другое, а на практике руководствуясь третьим, люди становятся жертвой подмены понятий.
Ну да ладно, не будем о плохом.
Государственные органы, которые не действуют по принципу «каждый взял себе надел, оставаясь не у дел» способны устранить театр абсурда. Но это - завтра, после того, как «враг будет разбит, победа будет за нами».
А сегодня хочется или не хочется, но разобраться придётся и ответить: «Что отнести к критическому: некую часть инфраструктуры или же только информационную инфраструктуру?»
Допускаем, что часть наделяет зависимое от неё целое конкретными свойствами.
Следовательно, информационная инфраструктура, как часть, наделяет критичностью зависимую инфраструктуру.
Используем озвученный подход для поиска ответов в понятиях самого Федерального закона о безопасности КИИ.
Предположим, что экспертиза не выявила нормативной коллизии и лингвистической неопределённости в понятиях закона: понятия соответствуют требованиям, предъявляемым к форме, значению и к особенностям применения терминов; каждое слово определяет некую сущность, её действия, обязательные для этой сущности свойства и условия, при которых свойства проявляются.
Поставим себя на место руководителя, которому в условиях стресса требуется однозначно определить, принадлежит ли по терминологии закона руководимое предприятие (орган, организация) к субъектам КИИ и можно ли остановить работу предприятия не ракетами, а воздействием с использованием информационных технологий.
Руководитель испытывает стресс, так как персонально отвечает за результат принимаемого решения, основанное на не понимаемых терминах. Вместе с подчиненными руководитель с трудом переведёт понятия и "канцелярит", используемые в законе, на общедоступный для понимания русский язык. Перевод первой статьи закона: «Федеральный закон применяется для предотвращения ущерба, неприемлемого для государства, вызванного нарушением работоспособности автоматизирующих функции инфраструктуры систем и сетей в результате субъективных воздействий на информацию». Руководитель, осмыслив перевод, наделяет полномочиями по организации и контролю безопасности КИИ не заместителя по безопасности, а заместителя по информационным технологиям.
Тем, кто не изучал, предлагаю ознакомиться с действующими утвержденными Президентом РФ от 03.02.2012 №803 «Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации».
Ознакомление даёт понимание, что организует и контролирует работу по безопасности КИИ, информационной безопасности, по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты согласно Указу Президента РФ от 01.05.20222 № 250 и постановлению Правительства РФ от 15.06.2022 № 1272 один и тот же заместитель руководителя.
И делается это в силу того, что предотвращение неприемлемого ущерба, вызванного нарушением автоматизированных функций инфраструктуры в результате субъективных воздействий на информацию - это не отдельное направление, а задача, решаемая в контексте ядерной, радиационной, промышленной, энергетической, транспортной, экологической, экономической безопасности и антитеррористической защищенности.
«Результат подмены научно-обоснованных однозначно воспринимаемых терминов в области безопасности субъективными понятиями может быть непредсказуем.
Подмена понятий в юриспруденции может иметь серьезные последствия для правовой системы и общества в целом.
Во-первых, подмена понятий приводит к несоответствию между заявленными нормами и их фактическим применением. Это создает правовую неопределенность и непредсказуемость, что затрудняет принятие справедливых решений и нарушает принципы правового государства.
Во-вторых, подмена понятий может привести к искажению смысла законодательных актов и доктрин права. Это может привести к неправомерным действиям судов, правоохранительных органов и других участников правового процесса.
Кроме того, подмена понятий может создать преграды на пути к созданию справедливой правовой системы. Если правовые понятия не ясны и не определены четко, это может привести к неправильным толкованиям закона и неправильной его применяемости.
Также, подмена понятий может снизить доверие граждан к правовой системе и правительству. Если люди чувствуют, что их права и интересы игнорируются или искажаются, они могут потерять веру в справедливость и законность».
Цель публикации будет достигнута, если у читателя сложатся в одну картинку следующие пазлы:
1. Инфраструктура – это одна государственная система (комплекс).
2. Критическая и некритическая – это части единой инфраструктуры.
3. В состав инфраструктуры, как системы, входят подсистемы: субъекты экономики и жизнеобеспечения, разделённые по отраслевому признаку.
4. Субъектам принадлежат объекты, которые используются ими для осуществления деятельности.
5. На объектах размещены информационные ресурсы, часть из которых используется для автоматизации процессов (операций), от которых зависят результаты деятельности субъекта.
6. Для взаимодействия субъектов, принадлежащих им объектов и информационных ресурсов, размещенных на объектах, используются объекты связи.
7. Нарушение работы объектов связи или части информационных ресурсов, используемых для автоматизации процессов (операций), может приводить к неприемлемому ущербу для субъекта.
8. Ущерб при определённых значениях может стать неприемлемым не только для субъекта, но и для государства.
9. Воздействие с использованием информационных технологий позволяет нарушить работу объектов связи или части информационных ресурсов, следствием чего является причинение ущерба.
10. Нарушение деятельности посредством субъективных воздействий – один из видов, который противник (нарушитель) применяет для уничтожения (подавления) объектов и создания ущерба.
11. Предотвращение ущерба, вызванного субъективным воздействием с использованием информационных технологий, является частью деятельности в области антитеррористической защищенности, ядерной, радиационной, промышленной, энергетической, транспортной, экологической, экономической, информационной безопасности.
«Кто не хочет – ищет причины, кто хочет – ищет возможности». Поэтому перед тем, как начать определять принадлежность субъекта к субъектам КИИ, предлагаю в качестве инструмента для логических рассуждений использовать приведённые ниже определения, часть которых вам знакома. Не исключаю, что определения требуют доработки, поэтому приветствую аргументированные комментарии на эту тему.
Термины и определения
1. Субъект – физическое или юридическое лицо, орган местного самоуправления, орган власти субъекта Российской Федерации, орган власти Российской Федерации или его территориальный орган.
1.1. Субъект экономики – предприятие, организация или учреждение материально-производственного или социально-производственного назначения, имеющее единую систему управления и расположенное на единой территории.
1.2. Субъектами экономики, для которых необходимы планирование, разработка и осуществление мероприятий по обеспечению устойчивости их функционирования при военных конфликтах, а также при чрезвычайных ситуациях, являются:
1.2.1. субъекты, имеющие мобилизационное задание и/или продолжающие функционировать в военное время;
1.2.2. субъекты, которым принадлежат:
а) объекты, отнесенные к категории по гражданской обороне в порядке, установленном законодательством Российской Федерации в области гражданской обороны;
б) объекты, представляющие высокую потенциальную опасность, в том числе:
– критически важные объекты, устанавливаемые законодательством Российской Федерации;
– потенциально опасные объекты, установленные законодательством Российской Федерации в области защиты населения и территорий от чрезвычайных ситуаций;
– особо опасные и технически сложные объекты, установленные законодательством Российской Федерации в области градостроительной деятельности.
1.3. Субъект жизнеобеспечения населения – это предприятие, организация или учреждение, деятельность которого направлена на решение вопросов первоочередного жизнеобеспечения населения, достаточного для сохранения жизни и поддержания здоровья людей при военных конфликтах, а также при чрезвычайных ситуациях.
1.4. К субъектам жизнеобеспечениянаселения, для которых необходимы планирование, разработка и осуществление мероприятий по обеспечению устойчивости их функционирования при военных конфликтах, а также при чрезвычайных ситуациях, относятся:
а) субъекты жизнеобеспечения, которым принадлежат объекты, отнесенные к категории по гражданской обороне в порядке, установленном законодательством Российской Федерации в области гражданской обороны;
а) субъекты жизнеобеспечения, имеющие мобилизационное задание и/или продолжающие функционировать в военное время, в том числе:
– предприятия агропромышленного комплекса;
– объекты пищевой и мясо-молочной промышленности, хлебозаводы, холодильники и т.п.;
– предприятия торговли и общественного питания, бытовой инфраструктуры и жилищно-коммунального обслуживания;
– предприятия водо-, электро- и теплоснабжения;
– учреждения здравоохранения;
– организации материально-технического и продовольственного снабжения;
– предприятия городского и междугороднего транспорта;
– муниципальные ремонтно-восстановительные службы и др.
2. Объект – на законном основании размещённое на обособленной территории (акватории), принадлежащие субъекту отдельное сооружение, строение, здание или комплекс технологически и технически связанных между собой сооружений, строений, зданий, с находящимися в них системами и информационными ресурсами, используемыми субъектом в рамках не противоречащей закону деятельности.
2.1. Информационные ресурсы – автоматизированные (информационные) системы и (или) информационно-телекоммуникационная сети и обрабатываемая в них информация.
а) Автоматизированная система – система, состоящая из комплекса средств автоматизации, реализующего информационную технологию выполнения установленных функций, и персонала, обеспечивающего его функционирование.
б) Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
в) Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
2.2. Информационная инфраструктура – информационные ресурсы, а также сети электросвязи, используемые для организации их взаимодействия.
а) Инфраструктура – комплекс взаимосвязанных обслуживающих структур или объектов, составляющих и обеспечивающих основу функционирования системы.
б) Единая сеть электросвязи Российской Федерации – сеть электросвязи, которая включает расположенные на территории Российской Федерации сети связи общего пользования, выделенные сети связи, технологические сети связи, присоединенные к сети связи общего пользования, сети связи специального назначения.
2.3. Критическая информационная инфраструктура – информационная инфраструктура, в которой нарушение или прекращение критических процессов может стать причиной возникновения недопустимого ущерба для субъекта или окружающей среды.
а) Критический – 1. находящийся в состоянии кризиса; 2. опасный, связанный с возможностью нарушения нормального состояния чего-нибудь; 3. относящийся к кризису, решающий, переломный; опасный.
б) Критический процесс – процесс, прекращение которого, или нарушение характеристик (параметров) которого, или дефекты, внесённые в ходе его выполнения, или нарушение операций которого, представляют опасность.
в) Опасность– обозначение ситуации, при которой вероятность причинения вреда (ущерба) и его возможные размеры, по мнению оценивающего ситуацию субъекта, больше некоторого субъективно установленного им же предела.
г) Безопасность – 1. отсутствие опасности; 2. отсутствие недопустимого риска; 3. состояние, при котором есть защита от опасности.
д) Риск– 1. возможная опасность чего-либо; 2. сочетание вероятности нанесения и степени тяжести возможных травм или другого вреда здоровью в опасной ситуации; 3. сочетание вероятности причинения ущерба и тяжести этого ущерба.
2.4. Объекты критической информационной инфраструктуры – информационные ресурсы, используемые субъектом для автоматизации критических для него процессов.
2.5. Субъект критической информационной инфраструктуры – субъект, результаты деятельности которого зависят от устойчивого функционирования объекта критической информационной инфраструктуры.
3. Критическая информационная инфраструктура Российской Федерации – критическая информационная инфраструктура субъекта, являющегося резидентом Российской Федерации и осуществляющего свою деятельность на территории (акватории) Российской Федерации и иных территориях, над которыми Российская Федерация осуществляет юрисдикцию в соответствии с законодательством Российской Федерации и нормами международного права.
3.1. Резиденты и нерезиденты Российской Федерации – субъекты права, определённые согласно статье 1 Федерального закона от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле».
3.2. Безопасность критической информационной инфраструктуры – 1. обозначение ситуации, при которой, по мнению оценивающего ситуацию субъекта, вероятность причинения ущерба, вызванного компьютерными инцидентами на объекте критической информационной инфраструктуры, менее некоторого субъективно установленного субъектом предела. 2. Мнение оценивающего ситуацию субъекта об отсутствии опасности в результате компьютерных инцидентов на объекте критической информационной инфраструктуры.
3.3. Безопасность критической информационной инфраструктуры Российской Федерации – обозначение ситуации, при которой, по мнению оценивающего ситуацию субъекта, вероятность причинения ущерба, вызванного компьютерными инцидентами на объекте критической информационной инфраструктуры, менее предела, установленного законодательством.
а) Компьютерный инцидент – событие (информационной) безопасности, следствием которого стало причинение ущерба субъекту или окружающей среде
б) Событие (информационной) безопасности – зафиксированное состояние информационной инфраструктуры, указывающее на возможное субъективное воздействие и нарушение устойчивости информационного ресурса.
в) Воздействие– 1. активное влияние субъекта на объект, не обязательно явное или с обратной связью; 2. действие, которое направлено на конкретный объект и целью которого является изменение чего-то в этом объекте; 3. Действие, оказываемое кем-, чем-либо на кого-, что-либо; 4. любое действие, направленное на объект с целью повлиять на него, вызвать изменение.
г) Устойчивость информационного ресурса – способность информационного ресурса выполнять заданные функции при деструктивных субъективных воздействиях с использованием информационных технологий.
д) Атака – 1. стремительное нападение на неприятеля (воен.); 2. действия, направленные против кого-нибудь или для достижения какой-нибудь цели (разг., газет.).
е) Компьютерная атака – 1. тип компьютерного инцидента, характеризующегося осознанным неправомерным или несанкционированным применением программных или программно-аппаратных средств для причинения ущерба субъекту или окружающей среде посредством прекращения (нарушения) автоматизируемой деятельности субъекта, уничтожения, блокирования, модификации, копирования, хищения, разглашения компьютерной информации, принадлежащей субъекту или нейтрализации средств её защиты; 2. целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств (ГОСТ Р 51275-2006);
ж) Сетевая атака – компьютерная атака с использованием протоколов межсетевого взаимодействия.
з) Цель – 1. один из элементов поведения и сознательной деятельности человека, который характеризует предвосхищение в мышлении результата деятельности и пути его реализации с помощью определённых средств. Цель выступает как способ интеграции различных действий; 2. осознанный образ предвосхищаемого результата, на достижение которого направлено действие человека; 3. то, к чему мы стремимся, то, чего добиваемся, что хотим получить, в чем желаем преуспеть.
и) Целенаправленный – 1. имеющий чётко поставленную цель; 2. направленный на достижение какой-либо цели.
к) Целенаправленное воздействие – организованное действие, направленное на достижение определённой цели (термин сформирован искусственным интеллектом Яндекса):
Целенаправленное воздействие может выполнять только субъект для достижения стоящих перед ним целей.
При отсутствии данных о субъекте (нарушителе, виновнике), выполняющем воздействие, факт целенаправленности может быть установлен с учётом причинно-следственной связи между воздействием и тяжестью наступивших последствий по следующим признакам:
– непосредственное причинение вреда или вероятность причинения вреда в результате воздействия, производного от непосредственного;
– нарушение защиты объекта КИИ с применением методов или средств, позволяющих причинить вред.
Соответственно, в условиях отсутствия данных о субъекте, который выполняет воздействие, факт целенаправленности на практике может быть установлен исключительно или после оценки наступивших последствий, или после нарушения защиты.
4. Значимый объект критической информационной инфраструктуры – включенный в реестр значимых объектов критической информационной инфраструктуры информационный ресурс, в котором, по мнению оценивающего ситуацию субъекта, вероятность причинения ущерба, вызванного компьютерным инцидентом, соответствует или более предела, установленного законодательством.
4.1. Значение– 1. смысл, то, что данный предмет (слово, жест, знак) значит; 2. важность, значительность, назначение; 3. влияние, общественная роль.
4.2. Значимый – имеющий свойство что-нибудь выражать, значить.
4.3. Реестр значимых объектов критической информационной инфраструктуры – база данных, содержащая регистрационные номера значимых объектов критической информационной инфраструктуры и характеризующие их сведения
Ссылки на публикацию и аргументированные комментарии заинтересованных читателей приветствуются.
В следующей публикации мы с вами попробуем разобраться с тем, как же определить принадлежность субъекта к субъектам КИИ.
Автор – Нефедьев С.Г.
Другие публикации автора:
Оценка степени информационного поражения государства по доле структур, работающих в интересах глобалистов
Вася, а надо честно признать, что информационную войну мы все же проиграли
Помешательство или диверсия: Как влияют смыслы и понятия на безопасность?
Нас ведут в «новую нормальность», изменяя традиции Русского Мира
Глобальный тоталитарный фашистский режим: фантастическое будущее или суровая реальность?
О каких возможных признаках фашизма в стране и в мире предупредила нейросеть?
Шокирующие данные об истории избирательного права