06.03.2018

Разговор за гостайну в КИИ

2 марта всенародно избранный Президент подписал Указ №98 о внесении изменений в перечень сведений, отнесенных к гостайне. Теперь к ней относятся и "сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры Российской Федерации" и "сведения, раскрывающие состояние защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак". Какая же дискуссия после этой публикации началась в соцсетях... Как бывший обладатель второй формы хотелось бы поделиться некоторыми мыслями о том, что все это значит.

Во-первых, сейчас рано делать какие-нибудь выводы о том, что конкретно будет относиться к гостайне. Будет ли это тендерная документация, ТЗ, презентации с case studies, списки заказчиков на сайте интегратора и т.п. информация? Или все ограничится базой инцидентов в ГосСОПКЕ и реестром значимых объектов КИИ? К этим вопросам я бы добавил свой - а кто из тех, кто активно обсуждает этот вопрос (еще с момента появления этой нормы в ФЗ-187) читал сам закон №5485-1 "О государственной тайне"? Я не в порядке критики, мне просто интересно. У нас многие непонимания нашего законодательства происходят именно по причине не до конца прочитанных нормативных правовых актов.

А ведь внимательное изучение того же закона о гостайне дает ответы на многие вопросы. Что лично я извлек из документа 93-го года происхождения:
  • К гостайне может быть отнесено далеко не все (так называемый принцип законности). В ст.5 закона о ГТ приводится 4 блока сведений, который могут быть засекречены. "Наша" тема относится к 4-му, последнему, блоку - "сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты". Но помимо информации о мерах по безопасности КИИ и состоянии ее защищенности от компьютерных атак, в этом списке есть, например, сведения о мерах защищенности критически важных объектов. Я что-то не помню шумихи в 2010-м году по поводу засекречивания этой информации. А еще к секретной информации относятся сведения о шифрах, шифрованной связи, о разработке шифров, о методах анализа шифрсредств. При этом ГОСТ 28147-89 и ГОСТ Р 34.12-2015 выложены в открытом доступе в Интернете. Отсюда вытекает простой вывод - есть общая категория сведений, попадание в которую еще ничего не значит. Кстати, в ст.7 приводится перечень того, что не может быть отнесено к гостайне.
  • Вторым принципом засекречивания данных является обоснованность. Это значит, что прежде чем что-то засекречивать, оценивается целесообразность этого. В случае с КИИ это будут делать, согласно Указа №98, ФСТЭК и ФСБ (Минкомсвязи и ЦБ в этом списке нет). Будут ли они относить к гостайне информацию по каждому объекту КИИ или даже по значимому объекту КИИ? А нафига? Вот скажите мне, зачем к гостайне относить сведения о мерах защиты медицинской информационной системы районной поликлиники (а это объект КИИ у субъекта КИИ)? Никакого резона в этом нет - нецелесообразно. Частично об этом говорит и сам Указ (вместе с ФЗ-193), который относит к гостайне сведения о защитных мерах не отдельных объектов КИИ, не КИИ, а КИИ Российской Федерации. Почувствуйте, как говорится, разницу. Этот тот случай, когда размер имеет значение. Логично предположить, что и законодатели с регулятором будут исходить из того, что к гостайне могут относиться сводные данные по критической инфраструктуре России целиком, а не отдельных ее объектов. Детали будут определены ФСТЭК и ФСБ, но мне почему-то кажется, что они не будут многократно увеличивать нагрузку на себя ради районных поликлиник или сельских школ.
  • Помимо Указа Президента, определяющего по-крупному, что относить к гостайне, уполномоченными ФОИВами (в данном случае ФСТЭК и ФСБ) должны быть составлены развернутые перечни сведений, которые и будут относиться к гостайне. Их-то мы и ждем. Но когда они появятся, вы про это не узнаете, - эти перечни засекречены.
Промежуточный вывод №1. Не надо думать, что задача ФСБ и ФСТЭК заключается в засекречивании абсолютно всего.

Вообще, на этом можно было и закончить заметку, так как обсуждать то, что еще не определено, достаточно странно. Но я же блогер :-)

Оптимизм - это хорошо, но не стоит забывать про то, что даже если вас съели, у вас есть как минимум два выхода :-) Вот и с засекречиванием существует два сценария развития событий - положительный (под ГТ будет отнесена сводная информация по КИИ РФ) и отрицательный. Поговорим про отрицательный, а точнее худший сценарий, - под гостайну попадут сведения о мерах защиты каждого объекта КИИ в отдельности (даже незначимого). Вспоминая принципы засекречивания сведений, максимум, на что можно рассчитывать абсолютному большинству субъектов КИИ, - это на минимально возможную, третью форму допуска (секретно). Отдыхать в Тайланде или Турции вы сможете, загранпаспорт у вас забирать не будут. Зато социальные гарантии и надбавки к зарплате положены (см. ПП-573 от 2006 года); но не всем. Хотя, если отбросить в сторону высокоуровневые рассуждения и попробовать рассмотреть конкретные кейсы, то становится понятно, что никто не будет какой-нибудь ломбард или детсад загонять под гостайну.

Промежуточный вывод №2. Третья форма - это не так страшно. Вторая тоже :-)

Допуск к гостайне могут получить не все. В ст.22 приводится перечень ограничений, среди которых постоянное проживание близких родственников за границей или отказ в участии в проверках "анкетных данных" со стороны соответствующих органов.

Промежуточный вывод №3. Получить доступ к гостайне могут не все.

Хорошо. Пусть будет худший сценарий. Как мне узнать, сведения о каких конкретно мерах относятся к гостайне? Когда надо создавать режимно-секретные отделы (РСО)? Не спешите и не бегите впереди паровоза. Если вы попали под раздачу, вы получите "письмо счастья" от регулятора, в котором вас предупредят о наличии у вас "сведений, составляющих". Вы, конечно, и сами можете принять решение о том, что у вас есть секретная информация (ст.10 закона о гостайне). В этом случае вы должны будете направить соответствующий запрос в уполномоченные органы, а уже они по вашему представлению выполнят соответствующие процедуры. Только зачем вам это головная боль по вашей же инициативе? Зачем загонять себя в угол? Живите безмятежно. Если у вас нет гостайны (а я все-таки считаю, что таких будет 99% субъектов КИИ), то и напрягаться не надо. А если есть, то к вам придут и сообщат об этом. Самодеятельность и инициатива в этом вопросе не нужна и только навредит вам.

Промежуточный вывод №4. Не проявляйте инициативу - ждите письма от ФСБ или ФСТЭК.

Да ну в ... эту гостайну. Не хочу я ничего засекречивать, внедрять СТР (а его как раз обновили недавно), получать допуска, лишаться возможности съездить в Европу на Рождество. Для многих это станет сюрпризом, но вы и не обязаны это делать. Вам не надо загонять себя в жесткое прокрустово ложе требований по гостайне и тратить на это деньги. Согласно ст.10 вы либо заключаете договор с регулятором на возмещение ущерба, связанного с засекречиванием, либо... не заключаете. В первом случае государство вам выплачивает сумму, установленную договором. Если она вас устраивает, то на этом проблема считается исчерпанной. Но так как государство у нас бедное и на реализацию требований ФЗ-187 в бюджете средств не заложено, то скорее всего предлагаемая сумма денег вас не устроит. Поэтому вы можете отказаться от заключения договора и от выполнения ограничений, связанных с засекречиванием. Правда, от ответственности за разглашение и утечку гостайны вас это не спасет, о чем вас и предупредит регулятор.

Промежуточный вывод №5. Вы не обязаны защищать гостайну, но это не снимает с вас ответственность за разглашение гостайны.

Если у вас все-таки будет гостайна в части КИИ, то вы будете ограничены в списке организаций, которых вы можете привлекать для выполнения работ по защите информации. У таких контор должна быть лицензия на работу со "сведениями, составляющими" в соответствие с ПП-333 95-го года (в отношении той информации, которая будет передаваться им по договору). У крупных интеграторов они обычно есть, а у мелких обычно нет. С вендорами ситуация аналогичная - если они выполняют для вас какие-то работы, то возможно они больше не смогут это сделать, если у них не будет соответствующей лицензии. Интересно, дочки иностранных ИБ-вендоров могут получить такую лицензию?

Промежуточный вывод №6. Списки подрядчиков по ИБ, возможно, придется пересмотреть.

Если посмотреть на текстовый фрагмент до первого промежуточного вывода, то мне пока остается непонятной ситуация с корпоративными центрами ГосСОПКИ, которые накапливают информацию о состоянии защищенности (или ее может обрабатывать только ФСБ?) и сведения о мерах по обеспечению безопасности (мониторить-то надо средства защиты). Попадут ли они под гостайну или нет? Тот же вопрос с вендорами ПО, которое используется на объектах КИИ. Допустим там найдена уязвимость, которую надо устранять. Можно ли ее будет передать производителю, если информация о дырах будет считаться "сведениями о защищенности", а у производителя нет лицензии на работу с гостайной?

Финальный вывод. Читайте законодательство - там все написано! Ну или почти все :-)

4 коммент.:

Vadim Prokudenkov комментирует...

Кто понял жизнь, тот не торопится. Согласен.

МФЦ СИБ комментирует...

http://lukatsky.blogspot.com/2018/02/blog-post_21.html?showComment=1519273959781#c2478815094116833849
вот поэтому писать не буду, будем подождать-писем, проверок, предписаний...и потихоньку выполнять свою работу.

Александр Германович комментирует...

С засекречиванием дело обстоит иначе. Ни ФСТЭК, ни даже ФСБ не разрабатывают развернутых перечней для всех ФОИВ. Каждый ФОИВ делает свой перечень: Минтрас свой, Центробанк свой, Минэнерго свой, и т.д. У ФСБ и у ФСТЭК есть свои, ведомственные перечни (так же, как и у всех).
На основании поправок, внесенных в Указ президента, каждый ФОИВ внесет поправки в свой ведомственный перечень. По нему исполнитель и будет определять, что отнесено к ГТ на объектах КИИ конкретного ведомства (ФОИВ), как и требует закон "О гос. тайне".

Денис Мареев комментирует...

Слишком уж конкретно в 193-м прописано. Возможно перестраховались. Думаю, чтобы снять с себя часть работы и осложнить жизнь забугорным бармалеям, засекретят категорийные, значимые КИИ. В сельской больничке вряд ли есть таковые, а в серьёзных медицинских центрах могут быть. Скорее всего по отраслям распределят.