24.1.13

Структура законодательства по защите критически важных объектов

После выпуска последних нормативных актов по защите критически важных объектов решил обновить карту нормативных актов по данной тематике. Вот что получилось:


Итого:
  • 2 принятых закона, только намечающих проблематику ИБ в КВО (ограничиваясь только ТЭК), один снятый законопроект (именно из него выросли ноги у четверки документов ФСТЭК) и один законопроект ФСТЭК, который в прошлом году был раскритикован Минэкономразвития.
  • 4 указа Президента и один документ ("Основы государственной политики") с непонятным статусом. Именно Указами президента в-основном регулируется тематика безопасности КВО.
  • 1 распоряжение и 3 закрытых постановления Правительства по контртеррористической защищенности объектов ТЭК. Правительство эту тему обходит стороной, делая только то, что вытекает из ФЗ-256.
  • 2 документа Совета Безопасности, статус которых в иерархии нормативно-правовых актов для меня всегда был загадкой.
  • 6 документов от ФСТЭК - четверка документов с требованиями к КСИИ, один с методикой аудита КСИИ и один по формированию кадрами подразделений, ответственных за защиту КСИИ.
  • 3 отраслевых стандарта Газпрома (относящихся именно к КСИИ)
  • 2 документа Минэнерго по контр-террористической защищенности объектов ТЭК.
  • 0 документов ФСБ.
Что интересного в этой картинке? Собственно, два момента. Первый. Несмотря на то, что именно ФСБ является основным регулятором тематики защиты КВО, у этого органа исполнительной власти нет ни одного документа по данной тематике! Нечего сказать? Не хотят подставляться? Или просто шифруются, навешивая грифы? Фиг знает. Я бы предположил первые две версии, хотя и третью до конца не исключаю. Второй момент - фокус внимания действующей нормативной базы. Это топливно-энергетический комплекс. Как будто в других отраслях у нас нет КВО. Или ждем очередной Саяно-Шушенской применительно к другим отраслям?...

6 коммент.:

Анонимный комментирует...

Алексей, добрый день.

Действительно ли существует документ "Методические рекомендации по организации контроля состояния обеспечения безопасности информации в ключевых системах информационной инфраструктуры РФ"? Мы недавно заказывала во ФСТЭке документы и решили до кучи в запрос записать эти самые методические рекомендации (все остальные документы по КСИИ у нас уже имеются). Нам позвонил сотрудник ГНИИИ ПТЗИ ФСТЭК с вопросами по этому документу: "А что это за документ такой? С чего вы взяли, что он существует? У нас в списке документов по КСИИ этих методических рекомендаций нет". В связи с этим у меня и возник вопрос у существовании данного документа. Впервые про "Методические рекомендации..." узнал на учебных курсах по КСИИ, но при этом сам документ там не показали и содержание его не раскрывали. Также документ упоминается в нескольких блогах, однако в ГНИИИ ПТЗИ ФСТЭК про него почему то не знают.

Алексей Лукацкий комментирует...

Да, такой документ есть. Подписан еще Гапоновым. 26 страниц. Из интересного там приложение 1 с перечнем характеристик КСИИ, контролируемых с применением инструментальных средств, и приложение 2 с примерным перечнем разрешенных инструментальных средств.

Анонимный комментирует...

Спасибо за информацию... Попробуем заказать повторно данный документ

Алексей Лукацкий комментирует...

Он вполне может быть для внутреннего использования при проверках ФСТЭК

Алексей Т. комментирует...

Итого: документов нет. :-)

Алексей Лукацкий комментирует...

Документов с конкретикой нет. ФСТЭК признает, что ее доки по КСИИ рекомендательной характер. Так что ждемс...