20.8.13

Новый законопроект о безопасности критически важных объектов

Ну вот и появился на свет очередной законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», о котором давно циркулировала информация и который предполагался в свете последних изменений как в законодательстве в области ИБ, так и в связи с изменением акцента, который наши (да и не только наши) спецслужбы делают в области ИБ в последнее время.

Почему я написал "очередной"? Дело в том, что это уже третья попытка каким-то образом отрегулировать такую непростую тему, как информационная безопасность критически важных объектов (КВО), что особенно актуально стало в последнее время, с момента активной информатизации критически важных объектов и их перехода с проприетарных технологий на IP-рельсы. Первая состоялась в 2006-м году, когда несколько депутатов активно стали бороться с засильем Microsoft, называемой главной угрозой национальной безопасности России. На свет появился законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры". Правда в пояснительной записке к нему говорилось, в-основном, о борьбе с кибертерроризмом.

В законопроекте 2006 года, за реализацию которого должна была отвечать ФСТЭК, устанавливались особенности осуществления:
  • определения угроз информационной безопасности критически важных объектов информационно-телекоммуникационной инфраструктуры;
  • оценки уязвимости объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации от актов незаконного вмешательства и деструктивных информационных воздействий;
  • категорирования критически важных объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации в зависимости от негативных последствий, возникающих вследствие прекращения или нарушения их функционирования; 
  • разработки требований и реализации мер по обеспечению информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.

Но законопроекту несуждено было взлететь - депутаты отозвали свою инициативу, а ФСТЭК уже успела разработать свое четверокнижие по защите ключевых систем информационной инфраструктуры (КСИИ), которое в отсутствие базового закона подвисло в воздухе. Хотя сам законопроект был более чем адекватен по своему содержанию - там были прописана и оценка защищенности, и регулярный контроль, и работа с персоналом, и требования к принимаемым на работу гражданам, и т.п.

В 2012-м году ФСТЭК сделала вторую попытку - я про нее писал; как и про то, что этот законопроект завернули. Повторять ту историю я не буду, просто повторю то, что уже тогда предполагал - мне показалось, что на данную тему хочет наложить руку совершенно другой орган исполнительной власти, ответственный за вопросы безопасности в стране. И вот подтверждение этому факту - новый законопроект, инициатором которого выступила ФСБ. Ей до 23-го августа и слать свои предложения и замечания по законопроекту.

В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:
  • разработки критериев отнесения объектов критической информационной инфраструктуры к различным категориям опасности;
  • категорирования объектов критической информационной инфраструктуры в соответствии с указанными критериями;
  • ведения реестров объектов критической информационной инфраструктуры с учетом их категории опасности;
  • установления требований к системам безопасности объектов критической информационной инфраструктуры с учетом их категории опасности;
  • обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. № 31с;
  • осуществления оценки защищенности критической информационной инфраструктуры Российской Федерации и ее объектов;
  • осуществления государственного контроля в области безопасности критической информационной инфраструктуры Российской Федерации.

Список целей очень сильно похож на законопроект 2006-го года, но вот учитывая авторов данного законопроекта есть и особенности. Вот некоторые из них:
  • Иная терминология, отличная от существующей. Например, раньше была КСИИ, а сейчас критическая информационная инфраструктура (КИИ). Понятие КВО тоже отличается от ранее определенных.
  • Стало понятно, что государственная система обнаружения атак, предусмотренная 31-м указом, нужна именно для КВО, а не всех без исключения государственных информационных ресурсов.
  • Очень много говорится о классификации и категорировании КИИ, ведении их реестра (ФСТЭК давно ведет), но ни слова не говорится о том, как компании и организации должны эту классификацию проводить. Раньше система признаков отнесения объекта к критически важным была засекреченной. Возможна она останется и тут. Но вот как те, кто подпадает под действие законопроекта, узнают о том, что они под него подпадают? Я регулярно сталкиваюсь с тем, что, например, безопасники многих объектов ТЭК слыхом не слыхивали о документах ФСТЭК по КСИИ. Новый законопроект ситуацию не сильно изменяет.
  • Ответственность делится между ФСБ и ФСТЭК, которые отвечают за КИИ высокой и средней/низкой категорий опасности соответственно. Вот тут, пожалуй, разрулился тот конфликт, о котором я писал раньше. ФСБ и ФСТЭК делят поляну КВО на двоих, но главным является ФСБ. ФСТЭКу остались наименее опасные КВО. 
  • Требования по ИБ устанавливаются ФСТЭК и ФСБ соответственно. ФСБшных пока нет, а вот ФСТЭКовское четверокнижие по КСИИ скорее всего получит долгожданный официальный статус (может быть с некоторой доработкой).
  • ФСБ должна устанавливать в сетях электросвязи, передающих информацию КИИ, системы обнаружения атак (за счет операторов связи). Правда, непонятно, какие системы. Где у ФСБ системы, способные работать в операторских сетях?
  • Оценку защищенности могут проводить аккредитованные ФСТЭК организации. Формулировка допускает и иных участников, но на практике врядли это будет осуществимо. Аккредитация требует наличия лицензии на гостайну, специального инструментария, прошедшего оценку соответствия, трех специалистов с высшим профессиональным образованием. Ну с лицензией понятно. С инструментарием вроде тоже. А где взять специалистов с ВПО, если оно появилось относительно недавно? А главное что наличие ВПО не означает наличия знаний в области КВО.
  • Правда, сама оценка защищенности в терминах законопроекта явно не оперативный процесс. Чего только стоит процесс составления ФСТЭК или ФСБ по результатам оценки акта и предписание с мерами по устранению. Если в системе контроля реактора найдена уязвимость, то кто в ФСБ готов будет взять на себя смелость и ответственность порекомендовать меры нейтрализации?
  • Законопроектом предусматриваются дополнительные обременения, накладываемые на лиц, владеющих объектами КИИ на праве собственности, касающиеся категорирования, создания и обеспечения функционирования систем безопасности этих объектов, а также обеспечения их взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
  • Должен быть создан Национальный CERT (может на базе gov-cert.ru, а может и нет).
Общее впечатление от законопроекта двойственное. Регулировать тему ИБ КВО нужно и именно этого не хватало 256-ФЗ, но явно не так, как написано в законопроекте. Пока он только устанавливает ряд запретительных мер, ограничивает круг тех, кто может защищать КВО, и говорит о пока несуществующих требованиях по защите. Маловато ;-( Буду подавать свои предложения. Главное, чтобы их не постигла участь моих предложений в ФСБ по линии ПП-1119.

В дополнение к основному законопроекту, существует и второй, направленный на усиление ответственности за атаки на КИИ и халатность в части выполнения мер по безопасности КИИ. Это законопроект "О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Наказание только уголовное - никакой административки.

3 коммент.:

ZZubra комментирует...

Замечания:

1. Отсутствует главное определение "объект критической информационной инфраструктуры". Точнее оно спрятано внутрь определения "критически важный объект". При этом КВО упоминается 6 раз, а ОКИИ - мой считометр сломался. Плюс определение "субъекта КИИ" полностью основано на определении "объекта КИИ", которого как такового нет.

2. Пустые слова "значимость","важность","значительный объем","высокой","низкий","средний","в незамедлительном порядке", "недопущение" - без отсылок на НПА,в которых им будут даны измеряемые значения. Насколько я помню, такие слова запрещается использовать в нормативно-правовых актах , т.к. они указывают на коррупционность их положений.

ЗЫ Это поверхностный обзор. Если же построить карту взаимосвязей положений проекта закона, боюсь вообще получится "дырка от бублика". А Бублик реально выжный и нужный.

Tomas комментирует...

Посмеялся: http://gov-cert.ru/contact.html , т.е. получается так, если я нашел уязвимость для критически важного объекта (реактора, например...), то сообщить должен посредством PGP - хехех, а я то думал, что дыры в КВО= ГТ, а для ГТ СКЗИ ГОСТ...

Алексей Лукацкий комментирует...

Tomas, это давно обсуждали уже ;-)