Про законопроект ФСТЭК по защите госорганов и критически важных объектов (КВО) я уже
писал - ФСТЭК опубликовала его у себя на сайте в июле. И вот на днях Минэкономразвития
опубликовало свое заключение об оценке регулирующего воздействия по проекту федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации". Пожалуй, это тот случай, когда заключение МЭР по тематике информационной безопасности проработано "от и до", но с одной целью - не давать законопроекту зеленый свет. Причем не потому, что проблема, решаемая законопроектом, не важна. А скорее потому, что этой тематикой хочет (и видимо будет) заниматься совершенно не тот орган исполнительной власти, который разрабатывал законопроект. Но обо всем по порядку.
В письме ФСТЭК в МЭР указано, что принятие проекта акта направлено на решение проблем, связанных с недостаточным уровнем защиты информации в ГИС и ИС КВО. Однако МЭР почему-то считает, что в пояснительной записке к проекту акта не указывается проблема, на решение которой направлено принятие проекта акта. Ну не забавно ли ;-) Дальше больше. ФСТЭК вставила в жаконопроект свою стандартую фразу о том, что необходимо "
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении"
защищаемой информации. На что МЭР заметило, что "
предлагаемой нормой проекта акта устанавливаются в недостаточной мере определенные требования в отношении неопределенных объектов, в отношении неясного перечня действий над такими объектами". Т.е. к закону о персданных такой претензии не было. К ПП-584 по защите информации в НПС такой претензии не было. А тут вдруг на тебе и появилась.
С замечанием МЭР о том, что якобы на реализацию норм законопроекта не потребуется дополнительного финансирования из бюджета я согласен. Но почему же при приемке ФЗ-152 на это никто внимания не обратил? Опять политика двойных стандартов?.. На этом претензии к предлагаемой статье 16.1 законопроекта о защите государственных ИС заканчиваются и оставшиеся 23 страницы посвящены теме защиты КВО.
В этой части очень интересна статистика, которая обосновывала необходимость КВО. Кто-то называет ее притягиванием за уши, но это первая российская статистика по данному направлению, которая показывает примерную стоимость создания АСУ ТП для разных отраслей экономики, ориентировочную стоимость создания системы защиты и размер потенциального ущерба. Тут, конечно, есть над чем подумать. Почему, например, ущерб в амтомобильной промышленности в 100 раз выше, чем в химической, и в 10000 раз больше, чем в металлобработке (кстати, это ущерб по отрасли или по усредненной КСИИ)? Хотелось бы, конечно, видеть методику оценки размера ущерба. И МЭР, конечно, сразу бьет в болевую точку таблицы. Если ущерб в химической промышленности 0.1 млн. руб, а стоимость создания СЗИ 3.5, то МЭР считает, что нельзя требование защиты КВО делать обязательным. Почему-то связь ущерба со стоимостью системы защиты здесь учитывалась, а при принятии ФЗ-152 и ПП-584 нет. Я уже не говорю про требование МЭР представить статистику инцидентов в КВО по отраслям в России. Мне интересно, появятся ли такие же претензии к документам ФСБ, которые будут делаться по данной тематике?..
Дальше идет тонкий намек, что обязательные требования по защите КСИИ должны быть установлены не для всех отраслей, а только для автомобилестроения, нефтегаза, энергетики и транспорта. Дальше идет замечательный вывод МЭР о том, что раз тема ИБ ТЭК освещена в ст.11
ФЗ-256 ("О безопасности ТЭК"), то значит объекты ТЭК
уже защищены и отдельно требовать этого еще и в ФЗ-149 не надо ;-)
П.3.3.1 заключения МЭР тоже замечателен. Т.к. регулированием ИБ у нас занимается три органа минимум (ФСБ, ФСТЭК и Правительство), то МЭР пишет, что "
предлагаемое регулирование может носить неопределенный характер, поскольку в нем принимают участие несколько федеральных органов исполнительной власти, что на практике может способствовать установлению противоречивых и избыточных требований". И опять риторический вопрос - почему при принятии ФЗ-152 (теже 3 органа) и ФЗ-161 (теже 3 органа и Банк России) это никого не волновало? А дальше ключевой пункт всего заключения на мой взгляд. МЭР ссылается на
документ СовБеза, по которому за регулирование ИБ в КВО отвечает ФСБ.
Дальше еще одно изюминка заключени МЭР: "
В настоящее время в существующих ИС КВО широко используются программно-аппаратные средства иностранной разработки, использование которых является экономически и технологически эффективным, но для которых выполнение устанавливаемых проектом акта требований (а также требований ФСТЭК России и ФСБ России в соответствии с рассматриваемой нормой проекта акта) по защите информации сопряжено с существенными затратами или на практике может быть технически невозможным". И еще: "
действующими нормативными правовыми актами по защите сведений ограниченного доступа среди прочего установлено требование об использовании средств защиты информации прошедших в установленном порядке процедуру оценки соответствия, которую невозможно провести без наличия исходных кодов программ, использования в средствах защиты исключительно российских алгоритмов криптографической защиты информации. Если используются средства защиты иностранной разработки или производства, то эти требования не могут быть выполнены. Замена средств защиты информации на отечественные или разработка собственных средств защиты информации и их сертификация требует существенных материальных издержек, особенно для коммерческих организаций телекоммуникационной отрасли, бизнес процессы которых в большинстве случаев реализованы с использованием телекоммуникационного оборудования и программно-аппаратных средств защиты информации иностранной разработки". Раньше это никого не волновало, а тут вдруг нате вам...
Дальше еще на 15 страниц идет конкретный разбор законопроекта и точечное битье авторов. То в части терминологии, не совпадающей с ГОСТ 50922-2006, то в части несоответствия нормам ФЗ-184 "О техническом регулировании" (не к месту примененным, кстати), то в части требования наличия переходного периода. В качестве резюме МЭР рекомендует: "
Учитывая указанную информацию, а также изложенное, представляется особенно важным рекомендовать разработчику изучить мировой опыт в области защиты информации, а также оценить последствия принятия проекта акта с учетом ожидаемых выгод (предотвращаемого ущерба) и ожидаемых затрат субъектов предпринимательской и иной деятельности, направленных на выполнение положений предлагаемого регулирования", а также "
Таким образом, проект акта содержит положения, вводящие избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующие их введению, способствующие возникновению необоснованных расходов субъектов предпринимательской и иной деятельности, способствующие возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации".
Т.е. те, кто готовил текст заключения МЭР обратили внимание на то, на что раньше никто внимания не обращал при анализе нормативных документов по информационной безопасности. А тут вдруг то, к чему все привыкли, враз поменялось. Я и сам, когда смотрел законопроект, не особо акцентировал внимание на это, понимая, что никто не будет менять сложившуюся годами практику. И что это значит, пока сложно сказать. То ли действительно меняется отношение к регулированию ИБ и теперь разработчикам НПА стоит более серьезно относиться к текстам. А может просто все эти замечания увидели свет только по одной причине - не дать пройти законопроекту ФСТЭК (тут важен уже не сам законопроект, а его инициатор)? Кто знает, кто знает... Ведь подковерные игры двух ИБ-регуляторов до сих пор продолжаются. Тут впору ФСТЭК задуматься о смене куратора ;-) Сейчас они рапортуют напрямую Президенту, у которого есть более близкий "товарищ по оружию". Может с Минкомсвязью активно завязаться? Или сразу с Медведевым? В данном случае толк может быть. Хотя это потребует серьезных изменений правил игры, включая и изменение всей нормативной базы по информационной безопасности. Но зато это будет на пользу всем. Да и в условиях усиления влияния ИТ на общество, появления кибероружия, вероятности кибервойн уже давно пора меняться.
ЗЫ. А тему защиты информации в государственных и муниципальных информационных системах можно провести через закон "О служебной тайне". Вот и причина сдуть с него пыль и вновь запустить его по коридорам власти.