Статья 'Идентификация объектов критической информационной инфраструктуры в Российской Федерации и Сингапуре: сравнительно-правовой аспект' - журнал 'Административное и муниципальное право' - NotaBene.ru
по
Journal Menu
> Issues > Rubrics > About journal > Authors > Policy of publication. Aims & Scope. > Council of Editors > About the Journal > Requirements for publication > Peer-review process > Article retraction > Ethics > Online First Pre-Publication > Copyright & Licensing Policy > Digital archiving policy > Open Access Policy > Article Processing Charge > Article Identification Policy > Plagiarism check policy > Editorial board
Journals in science databases
About the Journal
MAIN PAGE > Back to contents
Administrative and municipal law
Reference:

Identification of Critical Information Infrastructure Facilities in the Russian Federation and Singapore: Comparative Law Aspect

Gorian Ella

ORCID: 0000-0002-5962-3929

PhD in Law

Associate Professor, Vladivostok State University

690014, Russia, Primorsky Krai, Vladivostok, Gogol str., 41, office 5502

ella-gorjan@yandex.ru
Other publications by this author
 

 

DOI:

10.7256/2454-0595.2018.11.28211

Received:

29-11-2018


Published:

06-12-2018


Abstract: The object of the research is the relations that may arise in the process of the identification of the critical information infrastructure facilities for safety reasons. Goryan analyzes the main constituent elements of the legal mechanisms of the critical information infrastructure identification in the Russian Federation and Singapore. He describes the legal status of competent actors and the procedure of the critical information infrastructure identification. The researcher defines both similarities and differences in the legal regulation of the identification process as well as drawbacks and benefits of the mechanisms of critical information infrastructure identification. He also makes suggestions on how to improve the current Russia's regulation mechanism. To achieve better and more valid results, the author has applied a number of general research methods (structured systems approach, formal law and hermeneutical analysis) and special research methods (comparative law and formal law methods). As a result of his research, Goryan emphasizes the need to eliminate the drawbacks of the Russian mechanism of the critical information infrastructure identification using the experience of Singapore and clarifying the prcedure of categorization of critical information infrastructure facilities, extension of powers and appeal of actions (decisions) of a competent actor (Federal Service for Technical and Export Control). 


Keywords:

cybersecurity, critical information infrastructure, identification, legal mechanism, categorization, Singapore, institutional mechanism, FSTEC, Cyber Security Agency of Singapore, CII subject

This article written in Russian. You can find original text of the article here .

Актуальность темы исследования. Информационная безопасность России всегда была и остается важной частью национальной безопасности, что проявляется в оперативной реакции на вызовы, возникающие в этой сфере. В 2018 году впервые на законодательном уровне была признана важность критической информационной инфраструктуры (далее – КИИ) для государственной безопасности и в Федеральном законе Российской Федерации от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1] (далее – ФЗ-187) был определен институциональный механизм обеспечения ее безопасности. Уголовное законодательство было дополнено нормой, устанавливающей ответственность за неправомерное воздействие на КИИ (ст. 274.1 Уголовного кодекса Российской Федерации). Судебная практика по указанной статье на момент завершения нашего исследования отсутствует, поэтому рано еще судить о совершенстве/несовершенстве правового механизма обеспечения кибербезопасности. Тем не менее, эффективное обеспечение безопасности КИИ требует согласованности действий всех вовлеченных субъектов, гармонизации их правотворческой и правоприменительной деятельности. Относительная «новизна» такого объекта правовой охраны, как КИИ, требует пересмотра и критического осмысления полномочий субъектов, на которых возложена обязанность обеспечения ее безопасности, а также выработки предложений по совершенствованию их правового статуса. Массовые кибератаки последних лет, повлекшие выход из строя объектов КИИ в большинстве стран мира, вынуждают государства тратить больше средств на национальные системы обеспечения кибербезопасности, все чаще привлекать представителей частного сектора, в том числе команды CERT (компьютерные группы реагирования на чрезвычайные ситуации, создаваемые научно-техническими учреждениями и компаниями по обеспечению кибербезопасности), к сотрудничеству. Но для успешного обеспечения безопасности КИИ необходимо определить предмет приложения усилий: идентифицировать объекты КИИ путем выделения их из ряда информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, а затем установить соответствующий режим в отношении таких объектов. В российском законодательстве о КИИ используется термин «категорирование», которым обозначается «установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения» (ст. 7 ФЗ-187). Следует отметить, что термин «категорирование» применяется по отношению к признанному объекту КИИ. В международном праве и законодательстве зарубежных государств для обозначения как указанной процедуры, так и процедуры по признанию объекта КИИ в качестве такового используется термин «идентификация» [2]. В нашем исследовании мы будем использовать оба эти термина, презюмируя их одинаковое содержание – присвоение статуса объекта КИИ информационным системам, информационно-телекоммуникационным сетям и автоматизированным системам управления.

Существует объективная необходимость в обеспечении соответствия российского механизма обеспечения безопасности КИИ современным вызовам и требованиям эффективности, что вынуждает обращаться не только к наработкам международных специализированных учреждений (например, таких как Европейское агентство по сетевой и информационной безопасности – European Union Agency for Network and Information Security, ENISA), но и опыту государств, преуспевающих в рассматриваемой сфере. Одним из таких государств является Сингапур, дополнивший в 2018 году свое прогрессивное законодательство об информационной безопасности [3, с. 110-111] Актом о кибербезопасности Сингапура 2018 года (Cybersecurity Act 2018, далее – CSA) [4], который считается законом нового поколения в сфере кибербезопасности [5]. В одном из предыдущих исследований [6] мы доказали необходимость изучения опыта Сингапура в рассматриваемой сфере и выделили заслуживающие внимания особенности правового регулирования. Все вышесказанное свидетельствует об актуальности темы исследования.

Постановка проблемы исследования. Основной мишенью компьютерных атак последних лет являются КИИ, представляющие ключевую ценность для функционирования общества и государства: коммуникационные сети служб здравоохранения, транспорта, энергетики, охраны общественного порядка, финансовых и банковских систем. По мнению экспертов, в целом ситуация с защитой КИИ на национальном уровне может быть признана удовлетворительной [2, c. 9]. Как мы указывали ранее в нашем предыдущем исследовании, в России и Сингапуре национальные механизмы обеспечения безопасности КИИ разработаны на довольно высоком уровне. Преимуществом российского механизма выступает активное участие в нем службы, располагающей специальными силами и средствами, а также наделенной процессуальными полномочиями по оперативному реагированию на кибератаки (Федеральной службы безопасности Российской Федерации). Однако существенным недостатком российского законодательства является отсутствие правового регулирования процедуры идентификации информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления как объектов и организаций как субъектов КИИ. В законодательстве Сингапура такого пробела нет, поэтому насущной задачей является изучение опыта Сингапура и разработка предложений по улучшению российской модели идентификации КИИ.

Цели и задачи исследования. Цель исследования – определить преимущества и недостатки механизмов идентификации КИИ в Российской Федерации и Сингапуре и сформулировать предложения по совершенствованию российского механизма. Задачи исследования заключаются в сравнении правового статуса уполномоченных субъектов и процедур идентификации, выделении преимуществ сингапурского и недостатков российского механизмов, а также в рассмотрении возможностей заимствования положительного опыта Сингапура.

Методология. С целью получения наиболее достоверных научных результатов будет использован ряд методов познания, как общенаучных (системно-структурный, формально-логический и герменевтический), так и специальных юридических (сравнительно-правовой и формально-юридический).

Предмет исследования, источниковая база исследования, противоречия в имеющихся исследованиях и авторская позиция. Предмет исследования составляют основные нормативно-правовые акты в сфере регулирования деятельности субъектов обеспечения безопасности КИИ Российской Федерации и Сингапура по их идентификации.

Выбранная нами для исследования тема пока что мало представлена в российской научной литературе, что можно объяснить недолгим сроком действия рассматриваемых правовых норм как в России, так и в Сингапуре. В аспекте категорирования КИИ заслуживают внимания работы А.П. Глухова и А.А. Сидака, посвященные методологии категорирования объектов КИИ [7; 8]. В трудах И.О. Ванцевой [9], А.В. Кирьянова [10] и М.Б. Смирнова [11], посвященным процедуре категорирования объектов КИИ, к сожалению, не отражен важный для нашего исследования аспект, более того, он и не актуализирован в этих исследованиях: это порядок отнесения организации к субъектам КИИ. Должны ли организации проявить инициативу и самостоятельно провести идентификацию своих информационных сетей как КИИ с последующим категорированием объектов КИИ и уведомлением уполномоченного федерального органа, или уполномоченный федеральный орган должен издать соответствующее предписание в отношении определенных информационных сетей и организаций? Такая неопределенность замедляет категоризацию объектов КИИ и, соответственно, эффективность обеспечения их безопасности. Значимость этого вопроса отмечают эксперты в сфере информационной безопасности [12].

Из сравнительно-правовых исследований можно отметить работу В.О. Агеева [13], затронувшего механизм обеспечения безопасности КИИ, а исследования правового механизма обеспечения кибербезопасности Сингапура в российской юридической науке представлены нашими трудами [3; 6].

В зарубежной научной литературе некоторые аспекты исследуемой темы являются предметом активных дискуссий: структура институционального механизма обеспечения безопасности КИИ [14]; правовая природа такого механизма [15]; защита КИИ в условиях ограниченности государственных ресурсов [16]; методология идентификации КИИ [2, c. 5]. Всё вышесказанное свидетельствует о необходимости проведения нашего исследования.

Основная часть. Вступивший первого января 2018 года в силу ФЗ-187 в статье 2 дает определение понятий «критическая информационная инфраструктура», «объекты критической информационной инфраструктуры» и «субъекты критической информационной инфраструктуры». Так, КИИ определяется как «объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов» (п. 6). В свою очередь объекты КИИ определяются как «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры» (п. 7), а субъектами КИИ выступают «государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей» (п. 8). Как мы видим, четко определены как секторы (сферы) КИИ, так и субъекты КИИ.

Статья 7 рассматриваемого закона приводит определение такой процедуры, как «категорирование объекта критической информационной инфраструктуры», которая представляет собой «установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения». В качестве критериев категорирования КИИ выделена социальная, политическая, экономическая, экологическая значимость, а также значимость для «обеспечения обороны страны, безопасности государства и правопорядка» (ч. 2 ст. 7), а сама процедура категорирования объектов КИИ и показатели критериев их значимости устанавливаются соответствующим постановлением Правительства России (далее – Правила) [17].

Правилами в качестве основных субъектов категорирования объектов КИИ определены субъекты КИИ (п. 2), а на федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (в соответствии с Указом Президента от 25 ноября 2017 года №569 это Федеральная служба по техническому и экспортному контролю, далее – ФСТЭК), возлагаются обязанности по проверке соблюдения порядка осуществления категорирования и правильности присвоения объекту КИИ одной из категорий значимости либо неприсвоения ему ни одной из таких категорий, а также по внесению сведений о таком объекте КИИ в реестр значимых объектов КИИ (ч. 6 и ч. 7 ст. 7 ФЗ-187). Правила включают в процедуру категорирования также и государственный орган или российское юридическое лицо, выполняющее функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ (п. 15), которые согласовывают с субъектом КИИ перечень объектов, определенных для категорирования. Кроме того, сведения о включении объектов КИИ в реестр значимых объектов КИИ, а также об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости направляются в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которая включает в себя подразделения и должностные лица ФСБ, представителей субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты, а также созданный Федеральной службой безопасности России Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), действующий на основе соответствующего положения [18].

Процедура категорирования начинается с создания руководителем субъекта КИИ комиссии по категорированию, в состав которой включаются он сам, а также работники субъекта КИИ, выполняющие разнообразные функции по эксплуатации и обеспечению безопасности (п. 11), в том числе и представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами (п. 12). Следующие этапы работы комиссии определены в п. 14 Правил: а) определение управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ; б) выявление наличия среди них критических процессов; в) выявление объектов КИИ, обрабатывающих информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляющих их управление, контроль или мониторинг, а также подготовка предложений для включения в перечень объектов; г) рассмотрение возможных действий нарушителей в отношении объектов КИИ и других источников угроз безопасности информации; д) анализ угроз безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ; е) оценивание в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ; ж) установление категорий значимости каждому из объектов КИИ либо принятие решения об отсутствии необходимости присвоения категорий значимости каждому из объектов КИИ.

После составления, утверждения и согласования с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ, перечня объектов КИИ руководитель субъекта КИИ в течение 5 рабочих дней должен направить указанный перечень в ФСТЭК (п. 15 Правил) и продолжить процедуру категорирования, длительность которой не должна превышать одного года со дня утверждения субъектом КИИ перечня объектов. В Правилах отсутствуют положения по поводу полномочий ФСТЭК относительно действий с перечнем объектов КИИ, что вызывает вопросы о необходимости закрепления этой нормы в Правилах, поскольку после составления упомянутого перечня комиссия субъекта КИИ продолжает осуществление процедуры категорирования, заканчивающуюся присвоением категорий значимости объектам КИИ и оформляющуюся актом, содержащим сведения об объекте КИИ, результатах анализа угроз безопасности его информации, реализованных меры по обеспечению безопасности, о присвоенной категории значимости либо об отсутствии необходимости ее присвоения и проч.) (п. 16). В течение 10 дней со дня утверждения такого акта субъект КИИ обязан направить в ФСТЭК сведения о результатах процедуры категоризации. Перечень сведений приведен в подпунктах а)-и) пункта 17 Правил, а форму подачи этих сведений ФСТЭК определил в своем приказе [19].

В свою очередь, ФСТЭК проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6-8 статьи 7 ФЗ-187, и формирует реестр значимых объектов КИИ.

Основания для возврата субъекту КИИ сведений о категоризации для доработки указаны в ч. 8 ст. 7 ФЗ-187: 1) нарушение порядка осуществления категорирования; 2) неправильное присвоение категорий значимости и (или) необоснованное неприсвоение категорий; 3) предоставление неполных и (или) недостоверных сведений субъектом КИИ о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

В рассматриваемом законе содержится смысловая неопределенность в части сроков возвращения субъекту КИИ сведений о категоризации для доработки с мотивированным обоснованием причин возврата, указанных выше. Так, в части 6 статьи 7 установлен тридцатидневный срок рассмотрения Федеральной службой технического и экспортного контроля сведений, предоставленных субъектом КИИ, в части соблюдения порядка осуществления категорирования и правильности присвоения объекту КИИ одной из категорий значимости либо неприсвоения ему ни одной из таких категорий, однако часть 8 этой же статьи устанавливает десятидневный срок на определение наличия/отсутствия вышеуказанных фактов, после истечения которого сведения могут быть возвращены субъекту КИИ для доработки. На наш взгляд, эти нормы взаимоисключают друг друга, поскольку первая устанавливает общий срок в 30 дней для рассмотрения сведений о категорировании, а вторая – 10 дней для рассмотрения этих же сведений в части определения формальных и содержательных нарушений процедуры. Возникает закономерный вопрос – зачем законодатель определил общий срок в 30 дней, если указанное полномочие ФСТЭК может быть осуществлено за 10 дней? Ведь в случае отсутствия нарушений, что должно быть установлено в течение первых десяти дней после поступления сведений, объекты КИИ будут внесены в реестр значимых объектов КИИ и сведения о них будут направлены в НКЦКИ. Возможно, тридцатидневный срок является общим сроком, в течение которого ФСТЭК первый раз рассматривает сведения (десять дней), в случае выявления нарушений отправляет их обратно субъекту для доработки (на что закон устанавливает десять дней, см. ч. 9 ст. 7 ФЗ-187), а тот, в свою очередь, доработанные сведения представляет второй раз на рассмотрение ФСТЭК (в течение 10 дней согласно ч. 8 ст. 7 ФЗ-187). Таким образом, тридцатидневный срок указан как максимальный, по истечению которого сведения об объектах КИИ должны быть внесены в реестр. Из этого выходит, что ФСТЭК может вернуть сведения на доработку всего лишь один раз, при этом закон ничего не говорит о количестве таких возвращений. Поэтому возникает вопрос: а каковы правовые последствия повторного предоставления субъектом КИИ сведений, с которыми ФСТЭК не соглашается (например, неприсвоение категории объекту КИИ или присвоение не той категории)? На наш взгляд, указанные положения ФЗ-187 нуждаются в доработке.

По смыслу ФЗ-187 указания ФСТЭК являются императивными и субъект КИИ лишен права их оспорить как на стадии первоначального категорирования объектов КИИ, так и на стадии осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ (п. 1 ч. 12 ст. 7): в случае вынесения этой службой мотивированного решения о необходимости изменения категории объекта КИИ.

Однако перед началом реализации положений о категоризации необходимо решить основополагающий вопрос: каков порядок отнесения организации к субъектам КИИ? В ФЗ-187 и связанных подзаконных актах отсутствуют такие положения, на что уже указали эксперты в сфере информационной безопасности [12]. Практическим путем уже установлено два подхода к определению статуса организации как субъекта КИИ: прямой и косвенный [20]. В любом случае вывод о наличии статуса субъекта КИИ делается на основании следующих результатов: изучение документации на эксплуатируемые автоматические или информационные системы (критерий – выполнение специализированных задач в определённой сфере); определение сферы деятельности организации (согласно кодам ОКВЭД, критерий – совпадение с одной из 13 сфер, указанных в ФЗ-187); определение видов деятельности по лицензии (ФСБ, Росатома и др.) с деятельностью в одной из 13 предусмотренных законом сфер; изучение уставных документов (критерий – указание сфер деятельности из ФЗ-187 и наличие в собственности (ведении) автоматических или информационных систем. Дополнительно эксперты советуют обратиться с официальным запросом в ФСТЭК с целью получения разъяснений, содержащим подробное изложение реальной работы организации и действующих автоматических или информационных систем (в том числе находящиеся на аутсорсинговом обслуживании сервисных организаций). Альтернативой такому обращению предлагают получение услуг по аудиту и консультаций от компании с лицензией ФСТЭК. В такой ситуации или организации должны проявить инициативу и самостоятельно провести идентификацию своих информационных сетей как КИИ с последующим категорированием объектов КИИ и уведомлением уполномоченного федерального органа (ФСТЭК), или уполномоченный федеральный орган должен издать соответствующее предписание в отношении определенных информационных сетей и организаций. Такая неопределенность замедляет идентификацию КИИ и, соответственно, эффективность обеспечения ее безопасности. В любом случае, правовая неопределенность приводит к риску потенциального нарушения законодательства о КИИ и возможным злоупотреблениям со стороны задействованных субъектов.

Рассмотрим теперь законодательство Сингапура в исследуемой сфере. Определение понятия КИИ происходило в несколько этапов. Вначале в Стратегии национальной кибербезопасности 2016 года (National Cybersecurity Strategy 2016) был указан список секторов КИИ: услуги (государственные и аварийные службы, здравоохранение, средства массовой информации, банковские и финансовые услуги), коммунальные службы (энергетика, вода и телекоммуникации) и транспорт (наземный транспорт, морской и портовый, гражданский авиация) [21]. Затем Акт о кибербезопасности 2018 года определил секторы КИИ в рамках термина «существенные службы» (essential services), который означает любые службы, необходимые для национальной безопасности, обороны, внешних отношений, экономики, общественного здравоохранения, общественной безопасности или общественного порядка (section 2). Все эти службы перечислены в Перечне 1 к CSA (всего 46 в списке): они имеют отношение к энергетике, инфокоммуникациям, водоснабжению, здравоохранению, банковскому и финансовому обеспечению, безопасности и экстренной помощи, авиации, наземному транспорту, морскому транспорту, средствам массовой информации и услугам, связанным с функционированием правительства [4].

CSA содержит четкое терминологическое определение объекта КИИ как «компьютера или компьютерной системы, которые полностью или частично находятся в Сингапуре, необходимы для непрерывного функционирования существенных служб, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы» (раздел 2, раздел 7 (1)).

В соответствии с CSA основным субъектом механизма идентификации объектов КИИ является Комиссар кибербезопасности в правительстве Сингапура (Commissioner on Cybersecurity, далее – Комиссар), который одновременно является и директором Агентства кибербезопасности (Cyber Security Agency of Singapore). На должность директора и Комиссара назначается заместитель министра обороны по технологиям. Для выполнения возложенных на него полномочий Комиссар по согласованию с Министром коммуникаций и связи формирует штат Агентства кибербезопасности, в который могут быть включены (a) служащие других министерств; (b) служащие организаций; (c) служащие полиции в соответствии с Актом о полицейских силах Сингапура (Police Force Act) (секция 6). Обжалование действий и решений Комиссара осуществляется в Министерстве коммуникаций и связи непосредственно Министру.

Раздел 7 CSA устанавливает процедуру идентификации информационных сетей как объектов КИИ: Комиссар издает предписание (notice), содержащее юридически обязательное уведомление конкретному субъекту об отнесении его «компьютера или компьютерной системы» к КИИ. Основания для идентификации КИИ следующие: (a) компьютер или компьютерная система являются необходимыми для постоянного обслуживания существенной службы, а утеря контроля над ними или причинение им вреда окажет негативное влияние на доступность существенной службы; (b) компьютер или компьютерная система полностью или частично расположены на территории Сингапура.

Изданное в соответствии с требованиями раздела 7(1) CSA предписание (notice) должно содержать следующую информацию (раздел 7(2)): (a) описание компьютера или компьютерной системы, которые идентифицируются как КИИ; (b) данные о субъекте компьютера или компьютерной системы, которые идентифицируются как КИИ; (c) права и обязанности субъекта КИИ в соответствии с CSA; (d) данные об ответственном за КИИ должностном лице уполномоченного органа; (e) уведомление субъекта КИИ о сроках предоставления возражений против этого предписания в уполномоченный орган; (f) информация о порядке обжалования данного предписания в Министерстве коммуникации и информации Сингапура. Такое предписание действительно в течение 5 лет.

Субъект, в отношении которого издано предписание, имеет право представить соответствующие доказательства и на этом основании требовать от Комиссара внесения изменений в этот документ об определении иного лица в качестве субъекта КИИ (разделы 7(4) и 7(5)).

Следует отметить, что в рамках реализации CSA был разработан и утвержден Регламент кибербезопасности (критическая информационная инфраструктура)(Cybersecurity (Critical Information Infrastructure) Regulations 2018) [22] (далее – Регламент КИИ). Этим документом устанавливается порядок получения Комиссаром информации для идентификации объектов КИИ, права и обязанности субъектов в отношении объектов КИИ (идентификация, сообщения о киберинцидентах, оценка киберрисков), порядок и процедура обжалования действий и решений Комиссара.

В частности, для идентификации объекта КИИ в качестве такового при наличии оснований Комиссар имеет право истребовать путем издания соответствующего предписания (notice) необходимую информацию у лица, осуществляющего контроль над компьютером или компьютерной системой (раздел 8(2) CSA, раздел 3(2) Регламента КИИ): (а) название и местоположение компьютера или компьютерной системы; (b) выполняемые компьютером или компьютерной системой функции; (c) тип «существенной службы», обслуживаемой компьютером (компьютерной системой); (d) лицо или лица, а также другой компьютер (компьютерная система), использующие данный компьютер (компьютерную систему); (e) информация о параметрах и ключевых компонентах, указанная в предписании; (f) имя, адрес, контакты и номер лицензии лица, которому выдано предписание; (g) если лицо, которому выдано предписание, не является владельцем компьютера (компьютерной системы), то данные владельца; (h) другая информация, которую Комиссар может истребовать, чтобы убедиться, что компьютер (компьютерная система) соответствует критериям КИИ. После издания предписания об идентификации компьютера (компьютерной системы) в качестве объекта КИИ Комиссар уполномочен на получение дополнительной информации от субъекта КИИ (раздел 10(1) CSA, раздел 4(2) Регламента КИИ): (a) информация о конфигурации и безопасности объекта КИИ: (i) диаграмма сети, отображающая каждый ключевой компонент и соединение, любое внешнее соединение и устройство, от которого зависит объект КИИ; (ii) для каждого ключевого компонента: наименование и описание; физическое нахождение; операционная система и ее версия; ключевое программное обеспечение и его версия; IP-адрес и любой открытый порт, к которому подключен компонент; имя и адрес оператора (если владелец не является таковым); типы обрабатываемых и хранящихся данных; имя и контакты всех лиц, ответственных за безопасность объекта КИИ; (b) информация о конфигурации и безопасности любого другого компьютера (компьютерной сети), находящихся под контролем субъекта КИИ, которые связаны с объектом КИИ: (i) имя и описание; (ii) физическое местонахождение; (iii) имя и адрес оператора (если владелец не является таковым); (iv) описание всех осуществляемых функций; (v) типы данных, которыми обмениваются объект КИИ с другим компьютером (компьютерной системой); (vi) операционная система и ее версия; (vii) ключевое программное обеспечение и его версия; (viii) способы взаимодействия объекта КИИ с другим компьютером (компьютерной системой), включая протокол связи; (c) имя провайдера услуг, поддерживающего объект КИИ, и вид услуги на аутсорсинге; (d) любая другая информация, которая необходима Комиссару для подтверждения уровня безопасности объекта КИИ.

CSA и Регламент КИИ определяет детальный порядок обжалования решения Комиссара об идентификации того или иного объекта как КИИ. Лицо, чей компьютер (компьютерная сеть) был идентифицирован как объект КИИ, имеет право обратиться к Министру коммуникации и информации (далее - Министр) с апелляцией на предписание Комиссара (раздел 17(1)(а) CSA, раздел 7 Регламента КИИ). Регламент КИИ устанавливает требования к содержанию апелляции (раздел 7(2) Регламента КИИ), отзыву Комиссара на апелляцию (раздел 12(1) Регламента КИИ), ответу апеллянта на отзыв Комиссара (раздел 14(2) Регламента КИИ), а также возражения Комиссара на ответ апеллянта (раздел 15(2) Регламента КИИ). Министр наделен полномочиями созыва специального совета (Appeals Advisory Panel), состоящего из квалифицированных специалистов в сфере информационных технологии и информационной безопасности, если рассмотрение апелляции требует специальных знаний (раздел 18 CSA). Решение Министра является окончательным и пересмотру не подлежит (раздел 17(9) CSA).

Выводы. Вышесказанное позволяет прийти к следующим умозаключениям. Полномочия по категорированию объектов КИИ в России возложены на федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ - Федеральную службу по техническому и экспортному контролю (ФСТЭК). Иные субъекты - государственный орган или российское юридическое лицо, выполняющее функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ, а также Национальный координационный центр по компьютерным инцидентам (НКЦКИ) - выполняют вспомогательные функции: в первом случае это согласование с субъектом КИИ перечня объектов, определенных для категорирования, а во втором – сбор сведений о включении объектов КИИ в реестр значимых объектов КИИ, а также об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости. Полномочия ФСТЭК заключаются в одобрении сведений, предоставленных субъектом КИИ об объектах КИИ, и в формировании реестра значимых объектов КИИ. Законодательство не предусматривает специальной процедуры обжалования действий и решений ФСТЭК в отношении процедуры категоризации объектов КИИ. В Сингапуре же законодательство устанавливает в качестве органа, уполномоченного осуществлять процедуру идентификации объектов КИИ, Комиссара, возглавляющего Агентство кибербезопасности Сингапура. Он наделен широкими полномочиями и самостоятельно инициирует и осуществляет процедуру идентификации объектов КИИ путем определения лиц, которые являются владельцами информационных систем, получения от них необходимой информации для принятия решения об отнесении таких систем к объектам КИИ. По завершению процедуры Комиссар издает юридически обязывающее предписание об отнесении конкретной информационной системы к КИИ. Законодательство о КИИ детально регламентирует процедуру обжалования действий и решений Комиссара Министру коммуникации и информации, а также устанавливает права и обязанности субъектов этого разбирательства. Решение Министра в данном случае является окончательным и пересмотру не подлежит.

Преимуществами сингапурского механизма идентификации КИИ мы считаем наличие у Комиссара полномочий инициировать процедуру идентификации определенного объекта КИИ, а также возможность обжалования его решений и действий в вышестоящей инстанции с возможностью привлечения квалифицированных специалистов для выяснения спорных вопросов идентификации.

Среди недостатков российского механизма следует отметить неоднозначность норм о сроках рассмотрения ФСТЭК сведений, предоставленных субъектом КИИ, отсутствие регламентации порядка отнесения организации к субъектам КИИ, а также отсутствие специальной процедуры обжалования действий и решений ФСТЭК в отношении процедуры категоризации объектов КИИ.

Мы склоняемся к мнению о необходимости исправления указанных недостатков в российском законодательстве о КИИ и использования положительного опыта Сингапура для регламентации процедуры категоризации КИИ в части наделения ФСТЭК полномочием самостоятельного определения субъектов КИИ, оставляя за ними обязанности по категоризации объектов КИИ, а также в части обжалования решений и действий ФСТЭК.

References
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
Link to this article

You can simply select and copy link from below text field.


Other our sites:
Official Website of NOTA BENE / Aurora Group s.r.o.