31.3.14

Кто все-таки будет отвечать за ИБ КВО - ФСТЭК или ФСБ?

Чуть больше недели назад в Москве прошла отличная конференция - "Безопасность КВО ТЭК", на которой обсуждались различные вопросы в такой горячей теме, как критически важные объекты. Не обошлось и без упоминания законопроекта "О безопасности критической информационной инфраструктуры", который я уже не раз упоминал в блоге и который сейчас находится на финальной стадии согласования перед внесением в Госдуму (в апреле должно состояться это знаменательное событие).

В связи с этим интересен доклад, который Георгий Грицай (Минкомсвязь) сделал на конференции. Его выступление было посвящено вопросам взаимодействия критических инфраструктур с сетями связи общего пользования (ССОП), которое претерпело некоторые изменения по сравнению с первой редакцией законопроекта. Там тоже много чего интересного намечается. Но коснуться я бы хотел немного иного вопроса, озвученного в докладе Георгия, - ответственного за вопросы безопасности критических инфраструктур. Как это часто бывает при обсуждении еще не принятого законопроекта были сделаны некоторые оговорки, что все может поменяться и поэтому как финальное решение рассматривать презентацию не стоит :-)


Кто смотрел первую редакцию законопроекта, тот помнит, что там было два ответственных за безопасность КИИ - ФСБ (за КИИ высокой степени опасности) и ФСТЭК (за КИИ средней и низкой степени). Я в своей недавней презентации это освещал. Но в новой редакции законопроекта от идеи двухголового монстра решили отказаться. Что логично, т.к. было не совсем понятно, как могут два ну очень разных регулятора отвечать за защиту одного и того же объекта (пусть и разных степеней опасности). Когда отвечают два, значит не отвечает ни один. И в новой редакции было введено понятие ФОИВа "уполномоченного в области обеспечения безопасности критической информационной инфраструктуры". Т.е. если все пройдет как задумано, то регулятор ИБ КВО будет один.



А вот дальше и начинается гадание на кофейной гуще, т.к. совершенно непонятно, кто станет этим регулятором - ФСТЭК или ФСБ? Если ФСТЭК, то в целом все будет развиваться так, как развивается сейчас (ведь ФСТЭК является ФОИВом, ответственным за безопасность ключевых систем информационной инфраструктуры). ФСТЭКовский проект приказа по защите АСУ ТП будет принят и станет обязательным для всех категории КВО. ФСТЭК будет отвечать за категорирование. Она же будет проводить государственный контроль и надзор. Но что если крайним назначат ФСБ? Вот тут мы вступаем на зыбкую дорогу неопределенностей и догадок. Какова станет судьба проекта приказа ФСТЭК (есть же распоряжение Президента на его разработку)? Какие требования установит ФСБ в отношении ИБ КИИ? Кто в ФСБ будет за это отвечать - 8-й Центр или УКООП СЭБ? Вопросов много... Остается только ждать.