Ну вот и появился на свет очередной законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», о котором давно циркулировала информация и который предполагался в свете последних изменений как в законодательстве в области ИБ, так и в связи с изменением акцента, который наши (да и не только наши) спецслужбы делают в области ИБ в последнее время.
Почему я написал "очередной"? Дело в том, что это уже третья попытка каким-то образом отрегулировать такую непростую тему, как информационная безопасность критически важных объектов (КВО), что особенно актуально стало в последнее время, с момента активной информатизации критически важных объектов и их перехода с проприетарных технологий на IP-рельсы. Первая состоялась в 2006-м году, когда несколько депутатов активно стали бороться с засильем Microsoft, называемой главной угрозой национальной безопасности России. На свет появился законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры". Правда в пояснительной записке к нему говорилось, в-основном, о борьбе с кибертерроризмом.
В законопроекте 2006 года, за реализацию которого должна была отвечать ФСТЭК, устанавливались особенности осуществления:
Но законопроекту несуждено было взлететь - депутаты отозвали свою инициативу, а ФСТЭК уже успела разработать свое четверокнижие по защите ключевых систем информационной инфраструктуры (КСИИ), которое в отсутствие базового закона подвисло в воздухе. Хотя сам законопроект был более чем адекватен по своему содержанию - там были прописана и оценка защищенности, и регулярный контроль, и работа с персоналом, и требования к принимаемым на работу гражданам, и т.п.
В 2012-м году ФСТЭК сделала вторую попытку - я про нее писал; как и про то, что этот законопроект завернули. Повторять ту историю я не буду, просто повторю то, что уже тогда предполагал - мне показалось, что на данную тему хочет наложить руку совершенно другой орган исполнительной власти, ответственный за вопросы безопасности в стране. И вот подтверждение этому факту - новый законопроект, инициатором которого выступила ФСБ. Ей до 23-го августа и слать свои предложения и замечания по законопроекту.
В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:
Список целей очень сильно похож на законопроект 2006-го года, но вот учитывая авторов данного законопроекта есть и особенности. Вот некоторые из них:
В дополнение к основному законопроекту, существует и второй, направленный на усиление ответственности за атаки на КИИ и халатность в части выполнения мер по безопасности КИИ. Это законопроект "О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Наказание только уголовное - никакой административки.
Почему я написал "очередной"? Дело в том, что это уже третья попытка каким-то образом отрегулировать такую непростую тему, как информационная безопасность критически важных объектов (КВО), что особенно актуально стало в последнее время, с момента активной информатизации критически важных объектов и их перехода с проприетарных технологий на IP-рельсы. Первая состоялась в 2006-м году, когда несколько депутатов активно стали бороться с засильем Microsoft, называемой главной угрозой национальной безопасности России. На свет появился законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры". Правда в пояснительной записке к нему говорилось, в-основном, о борьбе с кибертерроризмом.
В законопроекте 2006 года, за реализацию которого должна была отвечать ФСТЭК, устанавливались особенности осуществления:
- определения угроз информационной безопасности критически важных объектов информационно-телекоммуникационной инфраструктуры;
- оценки уязвимости объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации от актов незаконного вмешательства и деструктивных информационных воздействий;
- категорирования критически важных объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации в зависимости от негативных последствий, возникающих вследствие прекращения или нарушения их функционирования;
- разработки требований и реализации мер по обеспечению информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.
Но законопроекту несуждено было взлететь - депутаты отозвали свою инициативу, а ФСТЭК уже успела разработать свое четверокнижие по защите ключевых систем информационной инфраструктуры (КСИИ), которое в отсутствие базового закона подвисло в воздухе. Хотя сам законопроект был более чем адекватен по своему содержанию - там были прописана и оценка защищенности, и регулярный контроль, и работа с персоналом, и требования к принимаемым на работу гражданам, и т.п.
В 2012-м году ФСТЭК сделала вторую попытку - я про нее писал; как и про то, что этот законопроект завернули. Повторять ту историю я не буду, просто повторю то, что уже тогда предполагал - мне показалось, что на данную тему хочет наложить руку совершенно другой орган исполнительной власти, ответственный за вопросы безопасности в стране. И вот подтверждение этому факту - новый законопроект, инициатором которого выступила ФСБ. Ей до 23-го августа и слать свои предложения и замечания по законопроекту.
В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:
- разработки критериев отнесения объектов критической информационной инфраструктуры к различным категориям опасности;
- категорирования объектов критической информационной инфраструктуры в соответствии с указанными критериями;
- ведения реестров объектов критической информационной инфраструктуры с учетом их категории опасности;
- установления требований к системам безопасности объектов критической информационной инфраструктуры с учетом их категории опасности;
- обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. № 31с;
- осуществления оценки защищенности критической информационной инфраструктуры Российской Федерации и ее объектов;
- осуществления государственного контроля в области безопасности критической информационной инфраструктуры Российской Федерации.
Список целей очень сильно похож на законопроект 2006-го года, но вот учитывая авторов данного законопроекта есть и особенности. Вот некоторые из них:
- Иная терминология, отличная от существующей. Например, раньше была КСИИ, а сейчас критическая информационная инфраструктура (КИИ). Понятие КВО тоже отличается от ранее определенных.
- Стало понятно, что государственная система обнаружения атак, предусмотренная 31-м указом, нужна именно для КВО, а не всех без исключения государственных информационных ресурсов.
- Очень много говорится о классификации и категорировании КИИ, ведении их реестра (ФСТЭК давно ведет), но ни слова не говорится о том, как компании и организации должны эту классификацию проводить. Раньше система признаков отнесения объекта к критически важным была засекреченной. Возможна она останется и тут. Но вот как те, кто подпадает под действие законопроекта, узнают о том, что они под него подпадают? Я регулярно сталкиваюсь с тем, что, например, безопасники многих объектов ТЭК слыхом не слыхивали о документах ФСТЭК по КСИИ. Новый законопроект ситуацию не сильно изменяет.
- Ответственность делится между ФСБ и ФСТЭК, которые отвечают за КИИ высокой и средней/низкой категорий опасности соответственно. Вот тут, пожалуй, разрулился тот конфликт, о котором я писал раньше. ФСБ и ФСТЭК делят поляну КВО на двоих, но главным является ФСБ. ФСТЭКу остались наименее опасные КВО.
- Требования по ИБ устанавливаются ФСТЭК и ФСБ соответственно. ФСБшных пока нет, а вот ФСТЭКовское четверокнижие по КСИИ скорее всего получит долгожданный официальный статус (может быть с некоторой доработкой).
- ФСБ должна устанавливать в сетях электросвязи, передающих информацию КИИ, системы обнаружения атак (за счет операторов связи). Правда, непонятно, какие системы. Где у ФСБ системы, способные работать в операторских сетях?
- Оценку защищенности могут проводить аккредитованные ФСТЭК организации. Формулировка допускает и иных участников, но на практике врядли это будет осуществимо. Аккредитация требует наличия лицензии на гостайну, специального инструментария, прошедшего оценку соответствия, трех специалистов с высшим профессиональным образованием. Ну с лицензией понятно. С инструментарием вроде тоже. А где взять специалистов с ВПО, если оно появилось относительно недавно? А главное что наличие ВПО не означает наличия знаний в области КВО.
- Правда, сама оценка защищенности в терминах законопроекта явно не оперативный процесс. Чего только стоит процесс составления ФСТЭК или ФСБ по результатам оценки акта и предписание с мерами по устранению. Если в системе контроля реактора найдена уязвимость, то кто в ФСБ готов будет взять на себя смелость и ответственность порекомендовать меры нейтрализации?
- Законопроектом предусматриваются дополнительные обременения, накладываемые на лиц, владеющих объектами КИИ на праве собственности, касающиеся категорирования, создания и обеспечения функционирования систем безопасности этих объектов, а также обеспечения их взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
- Должен быть создан Национальный CERT (может на базе gov-cert.ru, а может и нет).
В дополнение к основному законопроекту, существует и второй, направленный на усиление ответственности за атаки на КИИ и халатность в части выполнения мер по безопасности КИИ. Это законопроект "О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Наказание только уголовное - никакой административки.
3 коммент.:
Замечания:
1. Отсутствует главное определение "объект критической информационной инфраструктуры". Точнее оно спрятано внутрь определения "критически важный объект". При этом КВО упоминается 6 раз, а ОКИИ - мой считометр сломался. Плюс определение "субъекта КИИ" полностью основано на определении "объекта КИИ", которого как такового нет.
2. Пустые слова "значимость","важность","значительный объем","высокой","низкий","средний","в незамедлительном порядке", "недопущение" - без отсылок на НПА,в которых им будут даны измеряемые значения. Насколько я помню, такие слова запрещается использовать в нормативно-правовых актах , т.к. они указывают на коррупционность их положений.
ЗЫ Это поверхностный обзор. Если же построить карту взаимосвязей положений проекта закона, боюсь вообще получится "дырка от бублика". А Бублик реально выжный и нужный.
Посмеялся: http://gov-cert.ru/contact.html , т.е. получается так, если я нашел уязвимость для критически важного объекта (реактора, например...), то сообщить должен посредством PGP - хехех, а я то думал, что дыры в КВО= ГТ, а для ГТ СКЗИ ГОСТ...
Tomas, это давно обсуждали уже ;-)
Отправить комментарий