понедельник, 17 декабря 2018 г.

Даешь обнаружение компьютерных атак в сетях электросвязи! Продолжение.

   
      Согласно план-графика Правительства, должны были выйти Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационный инфраструктуры» и Приказ  «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры», подготовленные Минкомсвязь и ФСБ.

     Минкомсвязь предприняло  несколько попыток по выполнению обязательств, но безрезультатно. Даже откорректированные версии документов получили отрицательные заключения Минэкономразвития.
     Почти полтора года с момента принятия 187-ФЗ, а подзаконных актов от Минкомсвязи так и не предвидится. Печаль.
     ЗАКЛЮЧЕНИЕ 36268-СШ/Д26и от 07.12.2018 об оценке регулирующего воздействия на проект приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры»
    Проект акта разработан во исполнение части 5 статьи 6 Федерального закона 
от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ).
     Разработчиком были проведены публичные обсуждения проекта акта 
и сводного отчета в срок с 29 декабря 2017 года по 26 января 2018 года.
     В процессе подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России в срок с 28 ноября по 4 декабря 2018 г. были проведены дополнительные публичные консультации по проекту акта 
с представителями предпринимательского сообщества с целью выявления мнения заинтересованных лиц относительно потенциальных рисков применения предлагаемого проектом акта регулирования.

     По результатам рассмотрения проекта акта Минэкономразвития России обращает внимание разработчика на необходимость учета следующих замечаний при его доработке.
1. Порядком утверждается перечень лиц, участвующих в процессе установки средств поиска атак и их подключения к сетям электросвязи. В указанном алгоритме взаимодействия принимают участие организации, осуществляющие установку 
и настройку средств атак (далее – Организации), уполномоченный орган в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – Уполномоченный орган ГосСОПКА), а также операторы связи.
       Необходимо отметить, что пунктом 12 порядка Организации наделяются рядом обязанностей и полномочий, среди которых полномочие по осуществлению контроля соблюдения Технических условий от имени Уполномоченного органа ГосСОПКА. 
    Таким образом, на уровне подзаконного нормативного акта происходит делегирование контрольных полномочий в области безопасности федерального органа исполнительной власти хозяйствующему субъекту
    Кроме того, обращаем внимание разработчика на отсутствие в проекте акта 
и в порядке положений об информировании владельца значимых объектов критической информационной инфраструктуры (КИИ) о проводимых в его интересах действиях, их сроках и иной необходимой информации. 
2. Порядком не определены сроки, конкретные субъекты, состав и формы взаимодействия для ряда процедур в рамках взаимодействия между субъектами регулирования.
2.1. Пунктом 5 порядка предусмотрено, что оператор связи уточняет в 30-дневный срок с момента получения от Уполномоченного органа в области связи информацию о месте установки средств поиска атак, способах подключения средств поиска атак к сетям электросвязи и к каналам связи, а также сроки и порядок установки средств поиска атак.
    Вместе с тем порядок не регламентирует, к какому именно субъекту взаимодействия должен обратиться оператор связи – к Уполномоченному органу в области связи, Организации или к Уполномоченному органу ГосСОПКА.
     Если проектом акта предполагается обращение оператора связи к Организации или Уполномоченному органу ГосСОПКА, представляется нецелесообразным включение Уполномоченного органа в области связи в алгоритм информирования оператора связи о необходимости совершения предусмотренных пунктами 4.1, 5 действий.
2.2. Согласно пункту 6 порядка, схема установки средств поиска атак согласовывается с Уполномоченным органом ГосСОПКА. Вместе с тем проектом акта не установлен порядок и сроки согласования указанной схемы с Уполномоченным органом ГосСОПКА.
2.3. Пунктом 6.1 порядка закрепляется обязанность оператора связи заключить с Уполномоченным органом ГосСОПКА соглашение о неразглашении информации, связанной с установкой средств поиска атак. Момент и сроки заключения соответствующего соглашения также не регламентированы проектируемым регулированием.
3. Ряд проектируемых норм, связанных с расходами на обеспечение функционирования средства поиска атак, определены не в полном объеме.
    Пункт 9.3 порядка устанавливает, что эксплуатацию средств поиска атак осуществляет исключительно Уполномоченный орган ГосСОПКА. 
    Вместе с тем из пунктов 7.1, 7.2, 13 порядка не представляется возможным однозначно установить, кому принадлежат средства поиска атак, какое лицо осуществляет их установку и техническое обслуживание – Уполномоченный орган ГосСОПКА или Организация.
    Таким образом, в случае принадлежности средств поиска атак Организации необходимо регламентировать порядок передачи Организацией своих средств поиска атаки Уполномоченному органу ГосСОПКА.
4. Пункт 11 порядка устанавливает, что непрерывность функционирования средств поиска атак в круглосуточном режиме в соответствии с утверждаемыми техническими условиями и ответственность за сохранность этих средств возлагается на операторов связи.
     Следует отметить, что соответствующая обязанность для операторов связи Федеральным законом № 187-ФЗ не предусмотрена и представляется избыточной.
      Рассматриваемый проект акта разработан во исполнение Федерального закона № 187-ФЗ. Таким образом, подзаконный нормативный правовой акт, конкретизируя и развивая закон, не может выходить за рамки предмета закона и устанавливать новые требования в отсутствие прямого указания на них в Федеральном законе № 187-ФЗ.
     На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод об отсутствии достаточного обоснования решения проблемы предложенным способом регулирования
     Кроме того, сделан вывод о наличии в проекте акта положений, вводящих избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующих их введению, а также положений, приводящих к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Комментариев нет:

Отправить комментарий