СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Валерий Комаров
02.11.2020
#ИБ

Обеспечение технологической независимости КИИ. Попытка номер 2.

Обеспечение технологической независимости КИИ. Попытка номер 2.


Опубликована вторая версия законопроекта на тему О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры https://regulation.gov.ru/Projects/List#npa=109874, общественное обсуждение продлится до 26 ноября 2020 г., призываю подавать свои замечания и предложения.

Замечания по первой версии давал в заметке блога — https://valerykomarov.blogspot.com/2020/05/blog-post_25.html

Посмотреть ответы Минцифры на все поступившие замечания к первой версии можно здесь

Из примечательных ответов Минцифры:

Замечание: полномочия Минкомсвязь (Постановление Правительства РФ от 02.06.2008 N 418 О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации), не позволяют вносить в Правительство Российской Федерации проекты федеральных законов, нормативных правовых актов Президента Российской Федерации и Правительства Российской Федерации и другие документы, по которым требуется решение Правительства Российской Федерации в сфере ИБ и безопасности КИИ. В области обеспечения безопасности КИИ уполномочен — ФСТЭК России.

Ответ: ФСТЭК России уже является соисполнителем.

Причем здесь соисполнитель? Вносить в Правительство опять будет Минобороны?

Замечание: Почему требования предъявляют ко всем ОКИИ, а не только к значимым? Ведь остановка незначимых ОКИИ не приводит к к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Для незначимых ОКИИ нет требований даже базовые меры безопасности реализовать.

Ответ: распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

Интересно, а Минцифры в курсе, что ФСТЭК отвечает за проверку соблюдения процедуры категорирования субъектов КИИ? Мы решили прописать всем, потому что ФСТЭК плохо справляется с своей работой? Такое отношение приведет к росту сознательного уклонения от статуса субъект КИИ.


Отличные результаты за три года у Минцифры: 1% провел категорирование, 1 % подал Перечни и только готовится категорировать из регулируемой сферы. Видя как 98% субъектов в сфере связь игнорируют 187-ФЗ, понятно откуда причины такого ответа у Минцифры.

Ответ технологическая независимость объекта КИИ напрямую связана с обеспечением безопасности КИИ Российской Федерации, что соответствует целям 187-ФЗ – не учтено я просто не понимаю. В 187-ФЗ указана не безопасность КИИ РФ от всего, а задана ст.1 однозначно и узко:

Статья 1. Сфера действия настоящего Федерального закона

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Причем здесь технологическая независимость КИИ РФ? Не от санкций или политически-экономических решений зарубежных поставщиков, а исключительно при проведении компьютерных атак.

Ну и самое забавное. Нам предлагают импортзамещаться только на объектах КИИ, но не на оборудовании сетей электросвязи (относятся к КИИ, но не являются объектами КИИ)! А кто у нас регулирует по закону безопасность сетей электросвязи? Минцифры и регулирует. Пример разбирал здесь.

Собственно, основной головной болью субъектов КИИостается неопределенность с определением самих объектов КИИ. Мы до сих пор понять не можем, что относить к объектам КИИ,а теперь еще и спланировать должны импортозамещение всего этого. Очень наглядно это разобрано в цикле заметок про АСУ https://valerykomarov.blogspot.com/2020/10/blog-post_19.html

На отчет об оценке регулирующего воздействия без слез не посмотреть, никакой конкретики не указано ни по одному из показателей. Формально замечание к первой попытке на отсутствие такого отчета выполнено, но лучше его не читать.


Замечу, что

д) по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование российского ПО и оборудования, установленных Указом Президента Российской Федерации от «__» ______ 20__ г. № ____ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры », подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО и (или) оборудования (далее – План);
е) в течение 30 (тридцати) рабочих дней с момента утверждения Плана направить копию Плана в Минцифры России и Минпромторг России.
Всего полгода выделяется на планирование у субъекта КИИ. И никаких процедур внесения изменения в утвержденные планы не предусмотрено.
И собственно, очередная попытка провести одним пакетом сразу несколько НПА разного уровня — Указ Президента, Постановление Правительства и Приказы ФОИВ.
Очень заинтересовал пункт
К ПО и (или) оборудованию, предназначенному для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, дополнительно к настоящим требованиям применяются требования, утверждаемые ФОИВ, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Явно идет речь о средствах ГосСОПКА и Приказе ФСБ России от 06.05.2019 N196 Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
Какое отношение средства ГосСОПКА имеют к объектам КИИ? Они не входят в их состав.Это что же, под эти требования по технологической независимости попали центры ГосСОПКА? Или им не грозит, так как они себя субъектами КИИ не признают?
Да и распространение требований на систему защиту ЗОКИИ не подарок. Извольте переходить на отечественные средства защиты информации.
Серьезный такой намек от государства для тех субъектов КИИ, которые сейчас приступили к проектированию своих систем безопасности.
Так что, не проходите мимо, активно участвуйте в процедуре общественного обсуждения законопроекта. Коснется многих.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров
Автор: Валерий Комаров
Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Комментарии: