О проекте поправок в 239-й приказ ФСТЭК

Сегодня проходит конференция ФСТЭК, на которой... не будут рассказывать о КИИ. И вообще из 14 докладов, заявленных в программе, представители ФСТЭК читают только 3 из них. А раз так, то позволю себе высказаться о проекте поправок в 239-й приказ ФСТЭК, который на днях был выложен на общественное обсуждение и который уже вызвал большой отклик в СМИ.

Я бы отметил, что этот приказ совсем не про защиту информацию и не про кибербезопасность. Кто-то руками ФСТЭК пытается таким образом в очередной раз попробовать импортозаместить иностранные решения, причем уже не только в ИБ, а вообще в области ИТ. И вот почему:

• Пункт 9 (абзац 2) проекта приказа запрещает осуществлять прямой удаленный доступ в ПО и программно-аппаратным средствам значимых объектов КИИ работников организаций, находящихся под прямым или косвенным контролем иностранных юридических лиц. Учитывая, что ряд ИТ-продуктов (я даже не говорю про ИБ-решения) достаточно сложны и иногда требуют помощи со стороны работников производителя, это нововведение означает, что его будут либо обходить (слово "прямой" можно трактовать по-разному), либо в случае какой-либо проблемы или сложной ситуации, она так и останется неразрешенной. Кроме того, данный пункт означает запрет на использование на значимых объектах КИИ зарубежных облачных сервисов, неважно где расположенных. А, вспоминая, что у нас в КИИ включаются не только объекты ТЭК или транспорта, но и финансовые организации, образование, медицина, наука и т.п., а они активно используют в своей основной деятельности тот же YouTube или Google, Amazon или Azure, то работа этих сервисов будет парализована. 
• Пункт 9 (абзац 3) проекта приказа распространяет запрет на расположение значимых объектов КИИ за пределами России не только на объекты 1-й, но и 2-й категории значимости (из трех возможных). Это означает запрет на использование на значимых объектах КИИ 1-й и 2-й категории облачных сервисов, расположенных за рубежом. Вот интересно, многие даже государственные сайты используют SSL-сертификаты, выданные не российскими УЦ, проверка которых осуществляется также зарубежом. Можно ли считать такую проверку (а без нее портал или сайт может и не заработать) расположением объекта КИИ за пределами РФ? А та же SABRE, которой пользуется Аэрофлот? Или ее не рассматривать как объект КИИ (даже несмотря на использование ее на законном основании)? И таких примеров можно вспомнить очень много; особенно если обратиться к истории с законом ФЗ-242 о локализации ПДн россиян.
• Пункт 10 проекта приказа запрещает техническую поддержку ПО и программно-аппаратным средствам значимых объектов КИИ организациями, находящихся под прямым или косвенным контролем иностранных юридических лиц. Этот пункт самый значимый и он означает полный запрет на поставку любого иностранного оборудования и ПО в любые значимые объекты КИИ, так как техническая поддержка (пусть часто и ограниченная) является частью любой продажи.
• Пункт 8 проекта приказа в части нового требования 29.2 требует, чтобы средства защиты информации соответствовали 5-му уровню доверия и выше. 5-й уровень доверия означает предоставление исходных кодов для средства защиты, что в соответствие с законодательством ряда стран передача исходных кодов на ИТ-продукцию и средства защиты в определенные страны может нанести ущерб национальной безопасности. Для большинства иностранных компаний это означает фактический запрет на продажу средств защиты информации для значимых объектов КИИ, так как они должны быть либо сертифицированными (что, как показывает опыт последних двух лет, почти невозможно для "иностранцев"), либо прошедшими оценку по 5-му уровню доверия (что также практически невозможно). Длительность сертификации сегодня составляет сегодня не менее года.
• Пункт 8 проекта приказа в части нового требования 29.3 касается прикладного ПО, обеспечивающего выполнение функций значимого объекта по его назначению (для банков это АБС, для операторов связи системы управления сетями и биллинг, для промышленности и нефтегаза – АСУ ТП, для медицинских организаций – медицинское ПО и т.п.). Для всех иностранных производителей ПО (Siemens, SAP, Oracle, Rockwell, NCR, Microsoft и сотни других) это требования означает предоставление исходных кодов для их анализа на территории России, что затруднительно как с точки зрения корпоративных правил передачи интеллектуальной собственности, так и с точки зрения запрета на передачу исходных кодов по требованиям законодательства ряда стран.

Вот такие поправки, не имеющие ничего общего с защитой информации. Раньше ФСТЭК достаточно четко дистанцировалась от любых попыток втянуть ее во всякие смутные инициативы типа "Цифровой экономики" или импортозамещения. Но видимо теперь регулятор уже не может остаться в стороне и вынужден следовать общей "линии партии". А жаль...