В этом браузере сайт может отображаться некорректно. Рекомендуем Вам установить более современный браузер.

Chrome Safari Firefox Opera IE  
Меню
x
 
 
Версия для печати

Дата-центры и Закон о КИИ: разбираем нюансы

3 сентября 2019

— Какие российские коммерческие дата-центры могут быть признаны объектами критической информационной инфраструктуры (КИИ)?

— Уточним терминологию. В Федеральном закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон о КИИ) установлены два понятия: объекты и субъекты КИИ. Объекты — это информационные системы, информационнотелекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Субъекты — это лица, которым на праве собственности, аренды или на ином законном основании принадлежат объекты КИИ, функционирующие в определенных сферах, а также российские юридические лица и/или индивидуальные предприниматели, которые обеспечивают взаимодействие объектов КИИ. То есть объекты КИИ определены через субъекты, а субъекты КИИ — через объекты. Данная логическая ошибка называется «порочным кругом».

Коммерческий дата-центр как организация может являться именно субъектом КИИ, если он ведет деятельность в одной из следующих сфер: связь; здравоохранение; наука; транспорт; энергетика; банковская сфера и иные сферы финансового рынка; топливно-энергетический комплекс; атомная энергия; оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. К примеру, если дата-центр имеет государственные лицензии на оказание услуг связи (например телематические услуги или услуги по передаче данных), то его деятельность, вполне очевидно, относится к сфере связи.

Следует учитывать выбранные компанией коды ОКВЭД и сведения о видах деятельности, указанные в учредительных документах.

— Ранее в отношении отдельных объектов использовался термин КСИИ (ключевые системы информационной инфраструктуры). Эквивалентен ли он новому понятию КИИ? Если да, то требуется ли объекту, уже соответствующему требованиям КСИИ, выполнять переаттестацию по требованиям КИИ?

— В Законе о КИИ напрямую не сказано о том, что КИИ является «преемницей» КСИИ. Впрочем, в этом законе КСИИ не упоминаются вовсе. Вопросы определения КСИИ и обеспечения их безопасности регламентировались на уровне подзаконных актов и ведомствен ных документов с ограниченным доступом. Исходя из Указа Президента РФ от 25.11.2017 № 569 ФСТЭК вместо обеспечения безопасности КСИИ теперь занимается безопасностью КИИ.

В информационном сообщении ФСТЭК от 04.05.2018 г. № 240/22/2339 указано, что два основных документа по КСИИ признаны утратившими силу. Речь об Общих требованиях по обеспечению безопасности информации в КСИИ (утв. ФСТЭК от 18.05.2007 г.) и Рекомендациях по обеспечению безопасности информации в КСИИ (утв. ФСТЭК от 19.11.2007 г.). Базовая модель угроз безопасности информации в КСИИ и Методика определения актуальных угроз безопасности информации в КСИИ (оба утв. ФСТЭК от 18.05.2007 г.) могут применяться в отношении значимых объектов КИИ до утверждения ФСТЭК новых методических документов.

Таким образом, требования Закона о КИИ применяются ко всем объектам критической информационной инфраструктуры, даже если они соответствуют ранее действовавшим требованиям к КСИИ. Переаттестация законодательством не предусмотрена.

— Разработана ли уже методика определения принадлежности к объектам КИИ? И какие категории существуют на сегодняшний день?

— Субъект КИИ должен самостоятельно оценивать, какие из его систем и сетей относятся к объектам КИИ исходя из установленных Законом о КИИ понятий. Наиболее важно определить, какие из них являются так называемыми значимыми объектами КИИ. Для этого Постановлением Правительства РФ от 08.02.2018 № 127 утверждены Правила категорирования объектов КИИ.

Руководствуясь этими Правилами, субъект КИИ оценивает свои объекты по пяти группам критериев значимости: социальной, политической, экономической, экологической и значимости для обороны страны и безопасности государства. Каждому объекту присваивается одна из трех категорий, высшая из которых — первая. Если объект КИИ вообще не соответствует критериям значимости, ему не присваивается ни одна из категорий (ч. 3 ст. 7 Закона о КИИ).

— Какие базовые требования предъявляются к российским коммерческим дата-центрам, причисленным к субъектам КИИ?

— Согласно ч. 2 ст. 9 Закона о КИИ, субъекты КИИ обязаны информировать о компьютерных инцидентах ФСБ и Центральный Банк (если субъект осуществляет деятельность в банковской сфере и в иных сферах финансового рынка). Они должны содействовать ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов. В случае установки на объектах КИИ средств ГосСОПКИ (о ней — ниже), необходимо соблюдать порядок, технические условия установки и эксплуатации таких средств и обеспечить их сохранность.

Если субъекту КИИ принадлежат значимые объекты, появляются и дополнительные обязанности

Если субъекту КИИ принадлежат значимые объекты, появляются и дополнительные обязанности (ч. 3 ст. 9 Закона о КИИ), в том числе выполнение требований ФСТЭК по безопасности значимых объектов КИИ, обеспечение должностным лицам ФСТЭК беспрепятственного доступа для государственного контроля и выполнение их предписаний об устранении нарушений.

— Закон № 187-ФЗ определяет общие параметры объектов КИИ. Какие подзаконные акты конкретизируют эти требования?

— Субъектам КИИ следует руководствоваться уже упомянутыми Правилами категорирования объектов КИИ. Согласно п. 3 Правил, категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и/или иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ. Критериями значимости являются: возможность причинения ущерба жизни и здоровью людей, прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, сетей связи, транспортной инфраструктуры, возможное вредное воздействие на окружающую среду и др.

— Если оказалось, что коммерческий дата-центр относится к значимым объектам КИИ, какие действия требуются от руководства компании в первую очередь и какие сроки отведены на приведение объекта в соответствие требованиям № 187-ФЗ?

— В первую очередь необходимо составить и утвердить перечень объектов КИИ. Руководство дата-центра проводит категорирование в течение одного года после утверждения перечня (п. 15 Правил). Для этого в организации создается специальная комиссия из числа работников. Результаты категорирования направляются во ФСТЭК. Если категорирование выполнено правильно, сведения об объектах КИИ вносятся в реестр значимых объектов КИИ.

Основываясь на категориях значимости, дата-центр определяет те организационные и технические требования к обеспечению безопасности значимого объекта, которые он должен выполнить. Эти требования и порядок их выполнения устанавливаются Приказом ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Данные требования могут также применяться для обеспечения безопасности объектов КИИ, не отнесенных к числу значимых, по решению субъекта КИИ (п. 3 Требований).

— Что такое ГосСОПКА и является ли взаимодействие с ней обязательным требованием для объекта КИИ?

— ГосСОПКА — сокращенное обозначение Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России. Это распределенный комплекс сил и средств для реагирования на компьютерные инциденты и борьбы с компьютерными атаками. У ГосСОПКИ нет одного владельца, но есть «организующее начало» — Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который должен, помимо прочего, взаимодействовать с субъектами КИИ.

Как указывалась выше, субъекты КИИ несут обязанность по информированию о компьютерных инцидентах и оказанию содействия в борьбе с инцидентами и кибератаками, поэтому участвуют в ГосСОПКЕ.

Невыполнение требований Закона о КИИ в ряде случаев может быть расценено как преступление

— Кто имеет право осуществления проверок и аудита на предмет принадлежности объекта к КИИ и какова ответственность за невыполнение требований № 187-ФЗ?

— Перечень объектов КИИ, составленный их владельцем, подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ (п. 15 Правил категорирования объектов КИИ). Правильность категорирования проверяет ФСТЭК.

Невыполнение требований Закона о КИИ в ряде случаев может быть расценено как преступление. К примеру, нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или относящихся к КИИ систем и сетей (если это повлекло причинение вреда КИИ) может повлечь ответственность до шести лет лишения свободы (ч. 3 ст. 274.1 УК). В некоторых случаях может наступить и административная ответственность. Например, нарушение требований о защите информации (за исключением информации, составляющей государственную тайну) влечет наложение штрафа до 2000 рублей на должностных лиц, а на юридических лиц—до 15 ООО рублей (ч. 6 ст. 13.12 Кодекса об административных правонарушениях).

Кроме того, в договоре оказания услуг, заключенном между дата-центром и заказчиком — субъектом КИИ, могут содержаться обязательства дата-центра по обеспечению безопасности размещаемых объектов КИИ. Нарушение обязательств может привести к гражданско-правовой ответственности (обычно возмещение убытков и/или выплата неустойки).

Полезная информация:

Услуги в сфере телекоммуникационного права


Поделиться:
Вернуться назад