Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом, наплевать на то, как будут выполняться новые требования. А требования достаточно примечательные.
Одно из них - расширение запрета на использование элементов значимого объекта КИИ не только 1-й, но уже и 2-й категорией. Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации. Ну да и ладно. Зачем значимым объектам КИИ обновление? Не нужно оно. Хотя допускаю, что регулятор не рассматривает сервера обновлений как угрозу для ОКИИ и не включает их в контур контроля. Ну тем лучше.
Гораздо большие последствия будет иметь другое изменение, а именно, новые правила оценки соответствия средств защиты значимых объектов. Напомню, что в прежней редакции средства защиты должны были пройти оценку соответствия в одной из трех форм - испытания, приемки или обязательной сертификации. Так как достаточного количества сертифицированных изделий в России просто нет (особенно для промышленных площадок), то многие субъекты КИИ планировали воспользоваться оставшимися двумя формами оценки соответствия, которые никак не регламентировались ФСТЭК. И вот сюрприз. Теперь при выборе формы оценки соответствия в виде испытаний или приемки, средства защиты (исключая встроенные в общесистемное и прикладное ПО) в обязательном порядке должны дополнительно еще проходить проверку на 6-й уровень доверия согласно 131-му приказу ФСТЭК. И вот тут начинается самое интересное.
Испытания, согласно новой редакции 239-го приказа, могут проводиться самостоятельно или с привлечением внешних лиц. Вроде бы логично с целью экономии провести такие испытания, включая оценку доверия, самостоятельно. Но на этом пути нас ждет одна небольшая засада. Требования, устанавливающие уровни доверия, утвержденные 131-м приказом ФСТЭК, являются ДСПшными. ФСТЭК, правда, выложила у себя на сайте выписку из них, но документ этот неполон. Кроме того, он ссылается на совсем уж ДСПшную методику ФСТЭК по выявлению уязвимостей и недекларированных возможностей, без которых провести оценку соответствия на 6-й уровень доверия невозможно.
Можно ли получить данную методику и требования по доверию посторонним лицам? Согласно требованиям ФСТЭК, они "предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации". Учитывая курс ФСТЭК на засекречивание всего и вся, боюсь, что обычный субъект КИИ, владеющий значимыми объектами КИИ, получить их не сможет. И даже если у него есть лицензия ФСТЭК на ТЗКИ или разработку СрЗИ, тоже. А откуда у районной поликлиники или транспортной компании такая лицензия? Вот и получается, что своими силами провести такую оценку будет очень проблематично. Я уже не говорю, про отсутствие у субъектов КИИ специалистов, способных провести такой анализ. Да и вообще, эти требования в принципе не способен выполнить субъект КИИ, как бы он не хотел, так как они рассчитаны либо на разработчиков средств защиты, имеющих весь пакет документации и исходных кодов на свою продукцию, либо на лиц, которым они доверили ее анализ. Субъекты КИИ, до свидания!..
А вот дальше я вновь возвращаюсь к первому абзацу этой заметки. Есть у меня подозрения, что регулятор сам-то не читал свой приказ, а если читал, то не пытался хотя бы на минутку поставить себя на место субъекта КИИ и попробовать выполнить те изменения, которые были внесены. Если бы попытался, то у него бы возникли следующие вопросы (у меня они возникли сразу, а я даже не субъект КИИ). Требования по оценке по уровням доверия вступает в силу с 1-го января 2023 года, но...
- Значит ли, что уже сейчас нельзя устанавливать на ЗОКИИ средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, но без уровней доверия? Или запрет вступает в силу именно в 2023-м году?
- Если я сейчас внедрю (или они уже внедрены) такие средства защиты, то 2-го января 2023-го года мне надо от них отказываться или все-таки закон не имеет обратной силы?
- Если закон обратной силы не имеет, то можно ли мне после 1-го января 2023-го года обновлять средства защиты или это уже будет считаться модернизацией ЗОКИИ, а значит, как написано в приказе, надо будет уже проводить оценку по 6-му уровню доверия?
- А если сейчас идет проектирование системы и в ТЗ таких требований не было, то что делать? Будет ли отсрочка?
- Если у меня инвестпрограмма рассчитана на 3 года и в нее уже внесены средства защиты без оценки по 6-му уровню доверия, то что делать в таком случае? Бюджет уже заложен и часто это бюджет государственный.
- Закупка обновлений средств защиты без 6-го уровня доверия не будет ли рассматриваться для госкомпаний или госорганов, как нецелевое расходование средств со всеми вытекающими последствиями?
- Как будет трактоваться отсутствие 6-го уровня доверия при проведении проверок ФСТЭК (если средство защиты было внедрено до 1-го января 2023-го года)?
