Так ГИС или КИИ? Вот в чем вопрос.

С принятием Федерального закона «О безопасности критической информационной инфраструктуры РФ» добавится неопределенности в вопросе: какие ИС по каким требованиям защищать?.

Для государственных информационных систем существует, как известно, Приказ ФСТЭК №17. Для защиты информации в АСУ ПТП КВО скоро появится отдельный приказ. Граница между сферами действия этих документов, традиционно, весьма размыта.

Действительно, согласно законопроекту, "критическая информационная инфраструктура РФ – 

совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка".

Что у нас предназначено для обеспечения задач государственного управления? Да практически любая ГИС. Начиная от информационных систем Росреестра и заканчивая Росалкогольрегулированием. Я уже не говорю о федеральных ГИС, оператором которых является МВД или МИД.

Каковы критерии отнесения ИС к критически важным? В законопроекте они перечислены. К примеру:

- критерий социальной значимости;

- критерий важности объекта КИИ РФ в части реализации управленческой функции;

- критерий важности объекта КИИ РФ в части предоставления значительного объема информационных услуг.

Под эти критерии легко подвести весь реестр федеральных ГИС, а при желании – и бухгалтерию администрации Усть-Дремучинского района Заснеженной  области (как, собственно, и происходит на практике, когда компьютер в такой бухгалтерии причисляют к лику ГИС). 

Что получается? Как всегда, дилемма, стоящая перед оператором: с одной стороны, у него ГИС и 17-й приказ ему в руки. С другой стороны – у него критически важная «информационная система, предназначенная для решения задач государственного управления». Как быть? Спросить, как водится, не у кого: регулятор, скорее всего, ответит, что он не уполномочен комментировать положения законодательства, и будет прав. Остается одно – ждать сложившейся практики, которая всегда складывается из денег и нервов  операторов ИС.