13.12.2016

Законопроект по безопасности КИИ. Всем срочно получать лицензию на гостайну

А я продолжаю тему внесеннего на прошлой неделе законопроекта "О безопасности критических информационных инфраструктур", который мой безудержный интерес, открывающимися все новыми и новыми подробностями и потаенными смыслами и междустрочиями.

Помимо изменения терминологии, изменились и критерии категорирования объектов КИИ - вместо семи их теперь пять:
  • критерий социальной значимости
  • критерий политической значимости
  • критерий экономической значимости
  • критерий экологической значимости
  • критерий значимости для обеспечения обороноспособности, безопасности государства и правопорядка
  • критерий значимости в части реализации управленческой функции
  • критерий значимости в части предоставления значительного объема государственных услуг.
Но сильно радоваться не придется - по сути последние дву пункта вошли в состав первых двух. Гораздо важнее, какие конкретно критерии и их показатели будут предложены и приняты правительством? Где будет проходить отсечка? По миллиону рублей финансового ущерба как в однои из прошлых вариантов? Или все-таки авторы одумаются и корпоративные лоббисты смогут поднять планку, выводя себя из под удара. Все-таки попадание в категорию критических инфраструктур банков хоть и было ожидаемым, но все равно были надежды на лучшее. Все-таки банки у нас и так зарегулированы по самое не балуйся. Если уж и вносить их в список критических, то отдать регулирование ими под ЦБ (как это сделано с сетями связи), который и так имеет много требований (и будет еще) для своих "подопечных".

Удивило отсутствие в списке регулируемых не только отрасли водоснабжения и гидротехнических сооружений, но и пищевой промышленности, которая и в США, и в Европе отнесена к категории критических. Тем более, что и кейсы уже были и их немало, когда то производство остановится, то в рецептуру подмешается какая-то гадость, то доза консерванта будет превышена на порядок. И это хорошо еще, что из холодильных установок нет выбросов аммиака и его попадания в неудачную розу ветров с накрытием какого-либо населенного пункта.

А вот непопадание ИТ-отрасли, которая числится в числе критических и в Европе, и в США, вполне закономерно. Нет отрасли, нет и критичности. Ну не относить же на полном серьезе к регулируемым отрасль, которая никак не влияет ни на экономику, ни на национальную безопасность.

Из интересных наблюдений, которые у меня возникли еще в прошлый раз. Почему 8-й Центр реагирует на инциденты, а последствия устраняет от атак? Разве у инцидентов нет последствий? Но это классическая проблема терминологии, на которую я обращал внимание еще в рабочей группе СовБеза, которая готовила поправки в Доктрину ИБ. Также интересным мне показался факт, что ФСТЭК (а именно она станет ФОИВом в области безопасности КИИ) будет поставлять данные в ГосСОПКУ. Интересно какие? Из банка данных угроз и уязвимостей?

Из текущей версии законопроекта убрали два пункта:
  • Про незамедлительное восстановление функционирование объекта КИИ (убрали слово "незамедлительное" и это правильно). И это правильно.
  • Требование по оценке защищенности с помощью аккредитованных компаний, имеющих лицензию на работу с гостайной. Функция оценки защищенности осталась только у ФСБ, а сама эта информация отнесена к гостайне. Но... тут вновь у меня возникают терминологические вопросы. У ФСБ осталась функция оценки защищенности КИИ от атак или вообще любая оценка защищенности? Если первое, то пусть с ним. А вот если второе... Как тогда проводить аудиты объектов КИИ, сканировать их на уязвимости?.. 

Но, пожалуй, самое опасное в новом законопроект скрывается не в основном законопроекте, а в том, который вносит поправки в законодательные акты и, в частности, в законодательство по государственной тайне. Согласно предложениям информация о мерах по обеспечению безопасности объектов КИИ будет относиться к гостайне. И это будет полный пушной зверек. Когда производитель средств защиты продает средство защиты субъекту КИИ, он, хошь - не хошь, но становится обладателем информации о мерах по обеспечению ИБ. Когда интегратор внедряет систему защиты у субъекта КИИ, он также становится обладателем этой бесценной информации. Да и сам владелец КИИ является носителем этой информации, которую авторы решили отнести к гостайне. И что у нас получается? Любой кто захочет работать с субъектам КИИ будет обязан получать (если еще не получил) лицензию на гостайну. Да и сам субъект КИИ должен будет ее получить. А если посмотреть на список тех, кто попадает под понятие "объект КИИ", то картина и вовсе нерадужная становится. Вот такая засада ждет всех, кто захочет заняться этой темой. Многие ли захотят? Уж не знаю. Либо это недосмотр, либо сознательное сокращение числа игроков на этом рынке. Зато сведения в сведения в ГосСОПКЕ относятся к информации ограниченного доступа. Что это значит, пока непонятно. Никакой ответственности за ее разглашение не предусмотрено.

Чтоже касается ответственности, то третий законопроект в пакете, внесенном Правительством,  касается именно уголовного преследования за 5 составов преступления, среди которого наказание за разработку и распространение вредоносного кода для КИИ (почему нельзя включить это в ст.273?), а также наказание за неправомерный доступ к информации в КИИ. Но тема с нарушением функционирования КИИ почему-то обойдена вниманием, хотя обеспечение доступности и непрерывного функционирования технологического процесса в КИИ является приоритетной.

ЗЫ. Согласно законопроекта Президент определеяет "основные направления государственной политики в области обеспечения безопасности критической инфраструктуры Российской Федерации". Значит ли это, что, по аналогии с другими совбезовскими "основами госполитики" у нас еще один документ должен появиться уровня госполитики и он не будет совпадать с основами госполитики в области защиты АСУ ТП?..

ЗЗЫ. А еще я не увидел очень важной вещи в пакете законопроектов, а точнее вопросов гармонизации законодательства по ИБ с законодательством по промышленной безопасности, безопасности гидротехнических сооружений, безопасности транспорта и других видов безопасности, упомянутых у нас в различных законах. Сейчас представляется замечательная возможность увязать все эти элементы воедино и сложить пазл. Я про это писал поти 4 года назад, но видимо не судьба...

7 коммент.:

Александр Германович комментирует...

Очень похоже, что все ГИСы станут объектами КИИ. Возникает вопрос, по какому же приказу их защищать.
В том, что документы ФСБ будут закрытыми, можно не сомневаться. Лицензия на гостайну позволит передать защиту КИИ только в нужные руки.

p.a.kulikov комментирует...

ЙФЯУ9?

Target комментирует...

В части изменений в УК РФ интереснее часть 3-я:

3. Нарушение правил эксплуатации средств хранения, обработки
или передачи охраняемой компьютерной информации, содержащейся в
критической информационной инфраструктуре Российской Федерации,
или информационных систем, информационно-телекоммуникационных
сетей и их оконечного оборудования, относящихся к критической
информационной инфраструктуре Российской Федерации, либо правил
доступа к указанной информации, информационным системам,
информационно-телекоммуникационным сетям и их оконечному
оборудованию, если оно повлекло причинение вреда критической
информационной инфраструктуре Российской Федерации или создало
угрозу его наступления, -
наказывается принудительными работами на срок до пяти лет с
лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет или без такового либо
лишением свободы на срок до шести лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на
срок до трех лет или без такового.

По сути, это санкции на всех собственников объектов КИИ, которые что-то не сделают. А если докажут, что сразу несколько должностных лиц что-то не сделали, то это уже "группа". Санкции еще серьезнее. 37-й год за то, что сейчас вообще не наказуемо. Даже не смешно. Любая проверка объекта КИИ - посадки.

Алексей Лукацкий комментирует...

Александр: учитывая, что регуляторам по КИИ будет ФСТЭК, то им ничто не помешает признать 17-й приказ требования по защите КИИ у госов

Алексей Лукацкий комментирует...

Target: "если оно повлекло нанесения вреда..."

delice комментирует...

Безопасность на транспорте регулируется приказами Минтранса 40-43 (4 шт) от 8 февраля 2011.
И от их содержания легче не становится - исков в суды по их практике более чем достаточно.
Плюс к этому происходит категорирование как субъектов так и объектов ТИ. Бреда там хватает...

Алексей Лукацкий комментирует...

Есть желание гармонизировать все законы про "безопасность" в части именно КИИ