15.02.2016

Конференция ФСТЭК: в прицеле - госорганы

В конце декабря я уже писал про план нормотворческой деятельности ФСТЭК, опубликованный у нее на сайте. В нем было не так уж и много информации, что вызвало определенные вопросы у специалистов. Но вот на прошлой неделе прошла конференция ФСТЭК, которая расставила если не все, то многие точки над i. В этой, и ряде последующих заметок мне бы хотелось сфокусироваться на ключевых на мой взгляд моментах, которые ожидают специалистов по информационной безопасности в этом и следующем году.

Начну с того, что основным “разводящим” на мероприятии был, как и в прошлом году, начальник 2-го Управления ФСТЭК, Лютиков Виталий Сергеевич. Именно он модерировал конференцию, он сделал первых два доклада, он отвечал на основные вопросы. Поэтому к словам Виталия Сергеевича стоило прислушиваться не только в рамках его доклада, но и по ходу выступлений других его коллег по цеху и по отрасли.

В частности, прозвучала не раз уже звучавшая, но многими пропущенная мимо ушей мысль, что ФСТЭК не занимается регулированием обработки персональных данных. И защитой персональных данных она занимается постольку поскольку. Эта тема вообще мало звучит в последнее время на мероприятиях регулятора и в плане проверок. У ФСТЭК одна основая задача - государственные и муниципальные органы. Именно ей посвящены основные документы регулятора. Именно на нее брошены все немногочисленные (по сравнению с тем же 8-м Центром) силы. Именно безопасность государственных информационных систем и государственных информационных активов волнует ФСТЭК и, в частности, 2-е Управление. Поэтому опасения, что ФСТЭК будет ходить и “мочить” операторов персональных данных по ПП-1119 и участников платежных систем по ПП-584, на мой взгляд, безосновательны. Да и ушедший год доказал, что эти опасения не оправдываются. У ФСТЭК физически нет столько ресурсов, чтобы гоняться за банками и операторами персданных, которые еще и будут спорить по поводу легитимности 21-го приказа и трактовок 584-го Постановления Правительства. Кстати, косвенным подтверждением этому факту стало выступление Кубарева Алексея Валентиновича, советника ФСТЭК. У него в презентации упоминались не уровни защищенности персональных данных, а классы их защищенности. А мы прекрасно помним, что от классов защищенности в теме персданных отказались еще в 2011-м году. Ну и, наконец, стоит отметить, что про новую редакцию 21-го приказа (что было бы логично в свете поправок в 17-й) не было сказано ни слова.

Вторая очень важная мысль, которая была интерпретирована многими участниками мероприятия не совсем верно. Касалась она внесения поправок в трехглавый 149-ФЗ. Было озвучено о планах внести изменения в части расширения действия ряда статей закона не только на государственные информационные системы, но и на иные системы, в которых обрабатывается государственные информационные ресурсы. Ряд экспертов транслировал эту идею в “требования 17-го приказа распространятся не только на ГИС, но и на все остальные ИС в госорганах”. Это не совсем верно. Государственные информационные ресурсы могут обрабатываться не только на государственных и муниципальных предприятиях. Они могут присутствовать и у коммерческих предприятий, например, в ФГУП/ГУП/МУП. А еще они могут присутствовать в случае реализации каким-либо коммерсантом госзаказа. Или, например, когда госорган обращается за услугой аутсорсинга коммерческого ЦОДа, который в этом случае тоже попадет под действие планируемой поправки. Наконец, в государственных корпорациях тоже обрабатывается информация, владельцем которой является государства, то есть государственный информационный ресурс.

В ближайший месяц этот законопроект появится на regulation.gov.ru, но судьба его еще туманна. По словам Виталия Лютикова, они уже не первый раз вносят это предложение в законопроект, но оно не доходит даже до первого чтения - многие ведомства на этапе обсуждения этой инициативы высказываются против (что и понятно).

С этой инициативой связано еще два озвученных на конференции момента. Первый - касательно аттестации. Очевидно, что если предлагаемая поправка все-таки пройдет через Федеральное Собрание и Президента, то число систем, подпадающих под требование аттестации увеличится многократно. И если сейчас многие госорганы всеми правдами и неправдами уходят от аттестации своих внутренних систем (кадры, бухгалтерия и т.п.), то в случае принятия поправок этот фокус уже не пройдет. А где взять денег на аттестацию? На это представитель ФСТЭК ответил, что планируется внедрение дифференциального подхода к аттестации как к форме оценке соответствия в зависимости от класса защищенности информационной системы. Об отмене аттестации для низшего класса ИС речи не шло - только о дифференциации требований.

Второй момент связан с пресловутой служебной тайной. Из зала прозвучал вопрос о том, когда же будут установлены требования по ее защите, на что Виталий Сергеевич Лютиков высказал затаенную боль. По его словам они, по поручению Президента, уже неоднократно подавали свои предложения и проекты нормативно-правовых актов в этой области, которые почему-то буксуют в эшелонах власти. Причин он не озвучивал, но могу предположить, что чиновники просто не хотят вешать на себя такие вериги. Одно дело иметь мифическую субстанцию под названием “служебная тайна” и постоянно про нее говорить и даже иногда упоминать в своих документах. И совсем другое дело получить обязательные к исполнению требования, за нарушение которых предусмотрена вполне конкретная ответственность. Вот ляпнет сейчас какой-нибуд чиновник в телевизоре нечто, разглашающее служебную тайну, и ничего. А в случае принятия поправок в законодательство еще и наказать ведь могут. Так что, я бы не ждал особо поправок в законодательство по части служебной тайны. Вон, законопроект уже скоро как 10 лет пылится в Госдуме. Так что…

Ну что-то я расписался, а до обзора планов нормотворчества так и не добрался. Ну ничего, в следующей заметке напишу. Куда нам спешить, новости с начавшейся в Магнитогорске конференции по информационной безопасности финансовых организаций (не только банков) пойдут только во вторник; да и то только в Твиттере (или по тегу #ibbank). Так что ближайшие дни можно посвятить разбору всего сказанного прямо и между строк на конференции ФСТЭК, материалы, которой, кстати, выложены уже на сайте организаторов. Кто не зарегистрирован на нем, может обратиться по этой ссылке и скачать все без регистрации.