Журнал "Information Security/ Информационная безопасность" #5, 2019

В широком смысле авто- матизированная система управления состоит из информационной систе- мы и информационно-теле- коммуникационной сети, являющихся базовыми эле- ментами КИИ, хотя они имеют свою особую техно- логическую основу, способ- ную выделить автоматизи- рованную систему в само- стоятельный объект КИИ. №1 49-ФЗ "Об информации, информационных технологиях и о защите информации" 8 (ст. 2 "Основные понятия, используе- мые в настоящем Федеральном законе") отражены понятия информационной системы и информационно-телекоммуни- кационной сети. Понятие автоматизированной системы управления нашло свое отражение в Федеральном зако- не от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструк- туры Российской Федерации" 9 (ст. 2 "Основные понятия, используемые в настоящем Федеральном законе"). Данное понятие носит в основном тех- нологический характер и довольно широко используется в обиходе представителелями технических специальностей. В широком смысле автома- тизированная система управ- ления состоит из информацион- ной системы и информацион- но-телекоммуникационной сети, являющихся базовыми элемен- тами КИИ, хотя они имеют свою особую технологическую осно- ву, способную выделить авто- матизированную систему в самостоятельный объект КИИ. Субъекты КИИ Видится, что наиболее тяже- лым последствием компьютер- ных инцидентов является нару- шение технологического про- цесса на предприятии. Это, в свою очередь, может привести к повреждению выпускаемого продукта, снижению качества обслуживания клиентов, сни- жению объемов или временной остановке производства. Более того, возникает высокий риск техногенных аварий и экологи- ческих катастроф. Подобные инциденты могут повлечь за собой снижение стоимости акций компании, репутационный ущерб, штрафные санкции, что также в конечном итоге может являться целью компьютерной атаки 10 . Поэтому мы считаем, что субъектам КИИ необходимо выстраивать слаженную систе- му своей информационной без- опасности, а уже в ее рамках выполнять требования к обес- печению защиты информации, которые определены в соответ- ствующих актах 11 . К субъектам КИИ отнесены государственные органы, госу- дарственные учреждения, рос- сийские юридические лица и (или) индивидуальные предпри- ниматели, которым на праве собственности, аренды или на ином законном основании при- надлежат информационные системы, информационно-теле- коммуникационные сети и авто- матизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энер- гетики, банковской сфере и иных сферах финансового рынка, топливно-энергетическо- го комплекса, в области атом- ной энергии, оборонной, ракет- но-космической, горнодобываю- щей, металлургической и хими- ческой промышленности, рос- сийские юридические лица и (или) индивидуальные предпри- ниматели, которые обеспечи- вают взаимодействие указан- ных систем или сетей 12 . При этом указанные субъекты КИИ должны функционировать только в некоторых социально- экономических областях 13 . Расширение списка По нашему мнению, помимо указанных сфер, возможны и иные виды экономической дея- тельности, например жилищно- коммунальное и сельское хозяй- ство, строительство, пищевая промышленность и т.д. Однако указанные виды к субъектам КИИ почему-то не отнесены, хотя на их информационные системы, информационно-теле- коммуникационные сети и авто- матизированные системы управ- ления также могут быть совер- шены компьютерные атаки 14 . Предполагается, что в резуль- тате атак на сервисы для рас- чета и оплаты коммунальных услуг, мониторинга деятельно- сти управляющих и ресурсо- снабжающих организаций, состояния объектов государст- венного учета жилищного фонда может быть нарушено функцио- нирование государственной информационной системы жилищно-коммунального хозяй- ства 15 – одной из важнейших социально значимых информа- ционных систем государства. В этой связи регулятору еще предстоит отнести часть субъ- ектов экономической деятель- ности, не упоминающихся в дей- ствующем законодательстве, к субъектам КИИ. Для успешного решения этого вопроса необходимо использо- вать данные Общероссийского классификатора видов экономи- ческой деятельности (ОКВЭД 2) 16 . • 9 КИИ www.itsec.ru 8 Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации" // СЗ РФ. – 2006. – № 31 (часть I). – Ст. 3448. 9 Федеральный закон от 26 июля 2017 г. №1 87-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736. 10 Сердюк В.А. Некоторые аспекты защиты АСУ ТП // Information Security / Информационная безопасность. – 2017. – № 6. – С. 12. 11 Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская газета. – 2014. – № 175. 12 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736. 13 Там же. 14 Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность бизнеса. – 2019. – № 1. – С. 29. 15 Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 июня 2016 г. № 264 “О вводе в эксплуатацию государственной информационной системы жилищно-коммунального хозяйства" // Официальный сайт Министерства связи и массовых коммуникаций Российской Федерации. http://minsvyaz.ru/ru/documents/5069/ 16 Приказ Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. № 14-ст “О принятии и введении в действие Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029–2014 (КДЕС ред. 2) и Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034–2014 (КПЕС 2008)" // Бухгалтерское приложение к газете "Экономика и жизнь". – 2014. – № 21.