Читаем Глобальное управление Интернетом и безопасность в сфере использования ИКТ полностью

Излагаемые в проекте закона нормы в целом отвечают подходам, которые сформулированы в одном из наиболее проработанных международных документов по тематике защиты КИИ – Рекомендациях по защите критических информационных инфраструктур от 2008 г., выпущенных Организацией экономического сотрудничества и развития (OECD Recommendations on the Protection of Critical Information Infrastructures (2008)). При этом в российском законопроекте практически не затронута тематика международного взаимодействия по вопросам защиты КИИ, которое предусмотрено в рекомендациях ОЭСР в качестве одного из основных направлений деятельности.

Также в законопроекте не приводится полная классификация КИИ РФ, как и КВО РФ. Вопрос классификации важен как для решения внутригосударственных задач в этой сфере, так и для международного взаимодействия и сотрудничества. Отсутствие единой официально утвержденной классификации КВО и КИИ РФ осложняет межведомственное взаимодействие, служит дополнительным стимулом для конкуренции различных ведомств и регуляторов за полномочия в этой сфере, а также дезориентирует операторов самих КВО и объектов КИИ и диктует необходимость двойной и тройной отчетности об инцидентах и мерах по защите своих объектов перед различными регуляторами. Как один из примеров видения классификации КВО РФ приведем подход МЧС РФ. Нормативные акты министерства предусматривают идентификацию критической инфраструктуры по семи видам угроз, двум классам угроз и 50 типам объектов (зарубежным секторам приблизительно соответствует деление по семи видам угроз).

Помимо разницы во взглядах на приоритет международного сотрудничества, в повестке дня обеспечения ИБ КВО вновь проявляют себя нерешенные вопросы терминологии и классификации. Сопоставление терминологии документов Австралии, Германии, Канады, Великобритании, Нидерландов, России, США, Японии и других государств показывает существенные расхождения в логике определения таких объектов. Разные государства также выделяют различные классы/секторы КИИ (либо не выделяют таковую из общего перечня критической инфраструктуры вообще).

В США выделяются 16 секторов критической инфраструктуры; в Канаде, ЕС, Швейцарии и Японии – по 10 секторов. В большинстве случаев классификации объектов критической инфраструктуры в различных странах отличаются друг от друга, несмотря на то что значительная часть объектов (АЭС и объекты ЯТЦ, дамбы и ключевые объекты гидроэнергетики, крупнейшие телекоммуникационные инфраструктуры, правительственные информационные системы и ряд других) попадают практически во все классификации.

Однако особенностью российского подхода является то, что, в отличие от других государств, в которых объекты критической инфраструктуры, как правило, заранее распределены по отраслям, в России действует система признаков классификации объектов, относящихся к критическим. Точный перечень таких признаков не содержится в открытых источниках, однако сам принцип системы состоит именно в применении к объекту инфраструктуры системы критериев, а не отнесения его к списку КИ исключительно на основании той отрасли или сектора, к которому объект принадлежит.

В международной практике к категориям КИИ, встречающимся в классификациях абсолютного большинства государств, как правило, относятся:

• объекты атомной отрасли;

• энергосети, энергогенерирующие и энергораспределительные мощности;

• транспортные системы: авиация, железные дороги, автомобильные дороги и т. д.;

• объекты производства и хранения сельхозпродукции, а также продовольственного обеспечения;

• объекты государственного управления и правительственных коммуникаций;

• объекты ТЭК, в том числе нефтегазового комплекса;

• основные телекоммуникационные системы, сети, программно-аппаратное обеспечение и системы связи;

• объекты ОПК (в России – химически опасные объекты);

• финансово-кредитный сектор;

• водообеспечение и водоснабжение;

• здравоохранение.

Приведенный перечень, с одной стороны, показывает, что некоторые категории объектов причисляются к КИ почти во всех национальных законодательствах. С другой стороны, даже в этом случае неминуемы различия в трактовках, определениях и детализации категорий. Во многих государствах выделяются категории объектов КИ, часть из которых могут вообще не встречаться у их партнеров, и наоборот.

В то же время на международном уровне до сих пор практически нет механизмов, которые бы обеспечивали эффективное взаимодействие в сфере обеспечения безопасности КИИ. В частности, никаких специальных мер обеспечения безопасности КИИ среди прочих объектов не предусматривают ни Будапештская конвенция, ни межправительственное соглашение ШОС. Эпизоды кибершпионажа и атаки с использованием вредоносного ПО против объектов КИ периодически попадают в проработку национальными CERT и их ассоциациями, альянсом ИМПАКТ – МСЭ, иными структурами частного сектора и частно-государственного партнерства.