понедельник, 8 октября 2018 г.

Уникальность 187-ФЗ


   Все чаше слышу от коллег и участников профильных конференций тезис о том, что 187-ФЗ ни чем не отличается от других законов по защите информации. На BISSummit 2018 это прозвучало со сцены, во время 4 панельной сессии.
   На мой взгляд, в 187-ФЗ есть такие "изюминки", которые делают его уникальным для российского законодательства в области ИБ и защиты информации.
1. Активная и наступательная позиция. Не уход в глухую оборону, а агрессивное противодействие компьютерным атакам.

Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры

Принципами обеспечения безопасности критической информационной инфраструктуры являются:

3) приоритет предотвращения компьютерных атак.

2. Появился объект, для которого нет требований по обеспечению безопасности. Не просто отсутствие мер защиты от ФСТЭК, а вообще нет такой обязанности у субъекта КИИ.
Ст.9 п.2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ...;
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3. Государство считает, что повседневная деятельность субъекта КИИ по эксплуатации не значимого объекта КИИ представляет более существенную угрозу для страны , чем компьютерные атаки злоумышленников.  4. Антикомплайнс. Парадокс - выполнение требований 187-ФЗ приводит к увеличению рисков привлечения субъекта КИИ к уголовной ответственности. 4.1. Выполнение требований по обеспечению безопасности значимых объектов КИИ  с использованием технических средств приводит увеличению количества устройств, нарушение правил эксплуатации которых приводит к применению Ст.274.1. Более того, ФСТЭК высказывал позицию, что технические средства системы безопасности входят в состав объекта КИИ.4.2. При получении информации от субъекта КИИ о компьютерном инциденте, повлекшем нанесение вреда значимому объекту КИИ, НКЦКИ передаст ее во ФСТЭК, а ФСТЭК придет с внеплановой проверкой к субъекту и зафиксирует, что инцидент произошел по причине нарушения правил эксплуатации, повлекших.... ПП 162 
"20. Основаниями для осуществления внеплановой проверки являются:

б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;".Хотел еще добавить пункт о том, что это первый закон не о защите информации, а о защите железо+информация, но документами ФСТЭК все свелось к банальной защите информации. И дальнейшая работа ФСТЭК по приведению мер защиты из 21/17 приказов в соответствие к мерам из 239 это подтверждает. С 31 приказом это уже произошло. Вот здесь  - ничем не отличается уже 187-ФЗ от других законов.
Итог: в 187-ФЗ авторами (ФСБ) заложен очень здравый подход - пассивные меры защиты информации (ФСТЭК) малоэффективны, они всегда запаздывают и выполняются формально (см.Информационное сообщение ФСТЭК России от 2 июля 2017 г. N 240/22/3171). Главное - вовремя выявить подготовку компьютерной атаки, не важно даже кто цель. То есть, задача закона - обеспечить ГосСОПКа максимальной исходной информацией для успешного ПРЕДОТВРАЩЕНИЯ компьютерной атаки. Осталось оценить эффект от реализации...


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

1 комментарий:

  1. Выявить подготовку компьютерной атаки невозможно! Подготовка всегда латентна. У 187-ФЗ, по-моему, другие задачи. 1 – ГосСОПКА. 2 – Чтобы выявить недостатки в выполнении (не просто малоэффективных, а абсурдных по своей сути) требований ФСТЭК, её сотрудники должны приехать, провести проверку, составить акт и, возможно, выписать штраф, который с большой долей вероятности будет обжалован в суде. В случае 187-ФЗ всё иначе: каждый обязан сам на себя доложить и мало ему за то, в чём он, практически, не виноват, не покажется. Вместо полагающейся в таком случае, по нормальной логике, помощи, он получит расследование и наказание «по полной». И обжаловать, по вполне понятным причинам, он, скорее всего, это не будет.
    Получается, что главная цель 187-ФЗ не противодействие кибератакам, а наказание потерпевших по принципу «сами виноваты». И чем больше будет атак, тем больше будет потерпевших со всеми вытекающими из этого последствиями. Идея, в принципе, правильная, но только жалко, что не вовремя и коряво.

    ОтветитьУдалить