Журнал "Information Security/ Информационная безопасность" #1, 2018

Как понять, к какой сфере относится объект? По мнению автора, на то должно быть прямое указа- ние в действующем законо- дательстве. Например, ст. 91 "Информационные системы в сфере здраво- охранения" Федерального закона от 21.11.2011 № 323- ФЗ "Об основах охраны здо- ровья граждан в Российской Федерации" однозначно прописывает, какая инфор- мация обрабатывается в информационных системах в сфере здравоохранения и кто относится к их опера- торам. Иной способ опреде- лять, относится ли пред- приятие (организация) к той или иной сфере, как видится автору, – это использовать Общероссийский классифи- катор видов экономической деятельности (ОКВЭД). В чем особенности правового статуса субъ- екта критической инфор- мационной инфраструк- туры? В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации": Объекты критической инфор- мационной инфраструктуры – информационные системы, информационно-телекоммуни- кационные сети, автоматизиро- ванные системы управления субъектов критической инфор- мационной инфраструктуры. Субъекты критической инфор- мационной инфраструктуры – государственные органы, госу- дарственные учреждения, рос- сийские юридические лица и (или) индивидуальные предпри- ниматели, которым на праве собственности, аренды или на ином законном основании при- надлежат информационные системы, информационно-теле- коммуникационные сети, авто- матизированные системы управ- ления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сфе- рах финансового рынка, топлив- но-энергетического комплекса, в области атомной энергии, обо- ронной, ракетно-космической, горнодобывающей, металлурги- ческой и химической промыш- ленности, российские юридиче- ские лица и (или) индивидуаль- ные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Виды субъектов КИИ Таким образом, субъекты кри- тической информационной инфраструктуры (далее – субъ- ект КИИ), по мнению автора, можно разделить на два вида. Обладатели объектов КИИ Им необходимо одновремен- но соответствовать трем крите- риям: 1) относиться к государствен- ному органу, государственному учреждению, российскому юри- дическому лицу или индивиду- альному предпринимателю. Иными словами, иностранные юридические лица субъектами КИИ не являются; 2) объект информационной инфраструктуры (информацион- ная система, информационно- телекоммуникационная сеть, автоматизированная система управления) должен принадле- жать субъекту на праве собст- венности, аренды или ином законном основании. По мне- нию автора, термин "принадле- жат", использованный законо- дателем, в указанном контексте не совсем удачен, т.к. боль- шинство толковых словарей русского языка толкует его как "находиться в чьей-либо собст- венности", при этом, исходя из контекста, следует, что субъекту достаточно владеть и/или поль- зоваться (например, посред- ством удаленного доступа) объ- ектом критической инфраструк- туры; 3) объект информационной инфраструктуры должен функ- ционировать в сфере здраво- охранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансо- вого рынка, топливно-энерге- тического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодо- бывающей, металлургической и химической промышленности. Организации, обеспечивающие взаимодействие между объектами КИИ Им необходимо одновремен- но удовлетворять двум крите- риям: 1) быть российским юриди- ческим лицом или индивиду- альным предпринимателем; 2) обеспечивать взаимодей- ствие между объектами КИИ. Таким образом, вопреки рас- пространенному мнению, дале- ко не каждая организация является субъектом КИИ. Сколько видов КИИ – два или четыре? Помимо отнесения того или иного хозяйствующего субъекта к критической информационной инфраструктуре, среди специа- листов-практиков в области информационной безопасности ведется достаточно большое количество споров о классифи- кации объектов КИИ. По мнению автора, объекты КИИ целесообразно подразде- лить на два вида – "значимый" и "незначимый", а значимые объекты – на три категории (в соответствии с ч. 3 ст. 7 Федерального закона "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации"): самая высокая категория – первая, самая низкая – третья. От "величины" категории значимого объекта КИИ зависит набор организационных и тех- нических мер, обеспечивающих блокирование (нейтрализацию) угроз безопасности информа- ции, последствиями которых может быть прекращение или нарушение функционирования объекта. Подход, ставший уже стандартным и аналогичный 16 • ПРАВО И НОРМАТИВЫ КИИ: чего ожидать и что делать? ббревиатура КИИ (критическая информационная инфраструктура), ставшая особенно популярной с июля 2017 года в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации" (вступил в силу 1 января 2018 года) и по сей день порождает массу вопросов практической направленности, ответы на которые автор постарается дать в данной статье. А Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова