четверг, 29 августа 2019 г.

Управлять Интернетом тоже надо уметь.

     Традиционное грамотное заключение Минэкономразвития, очень вдумчивый разбор недостатков проекта приказа Минкомсвязи.
     Примечателен отсыл к нормам 187-ФЗ при аргументации позиции Минэкономразвития.


№26300-СШ/Д26и от 09.08.2019 г.

ЗАКЛЮЧЕНИЕ об оценке регулирующего воздействия на проект приказа Минкомсвязи России
«Об утверждении требований к функционированию систем управления сетями связи
при возникновении угроз устойчивости, безопасности и целостности функционирования
на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования»

К проекту акта могут быть сделаны следующие замечания.
1. В соответствии с пунктом 1 проектом акта устанавливаются требования к функционированию систем управления сетями связи. В соответствии с пунктом 2 статьи 12 Закона о связи к полномочиям Минкомсвязи России относится установление требований к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования.
  Таким образом, в проекте акта должны быть установлены требования к функционированию систем управления сетями связи только в случае возникновения угроз устойчивости, безопасности и целостности функционирования.
    Кроме того, следует отметить следующее. В соответствии с пунктом 2 проекта акта система управления сетью связи представляет собой «комплект организационно-технических мероприятий в целях обеспечения предоставления услуг связи, а также обеспечения устойчивости, безопасности и целостности сети связи». Однако пунктом 2 статьи 12 Закона о связи цель в обеспечении предоставления услуг связи не установлена.
   Кроме того, в пунктах 3 и 4 проекта акта установлены требования к системе управления сетью связи без учета их применения только в случае возникновения угроз устойчивости, безопасности и целостности функционирования, а также не в целях обеспечения предоставления услуг связи.
   На основании вышеизложенного проект акта требует доработки в соответствии с указанным замечанием в рамках полномочий, установленных Законом о связи.
2. В соответствии с пунктом 3 статьи 12 Закона о связи операторы связи всех категорий сетей связи единой сети электросвязи Российской Федерации обязаны создавать системы управления своими сетями связи, соответствующие установленному порядку их взаимодействия. Указанная формулировка подразумевает создание системы, составными частями которой может являться комплекс, например, аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей.
    В аналогичном значении указанный термин используется в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Схожий подход используется при определении термина «система управления производственными и технологическими процессами», приведенного в подпункте «б» пункта 3 Основных направлений государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, утвержденных Указом Президента Российской Федерации от 3 февраля 2012 г. № 803.
  Однако в соответствии с пунктом 2 проекта акта система управления сетью связи включает в себя в том числе центр мониторинга и управления сетью связи, размещаемый на территории Российской Федерации, дежурно-диспетчерские службы.
   При этом состав и назначение дежурно-диспетчерских служб проектом акта не определены.
   В связи с вышеизложенным включение указанных элементов в систему управления сетью связи избыточно и способно привести к дополнительным затратам субъектов предпринимательской деятельности. Так, например, по экспертным оценкам субъектов предпринимательской деятельности, расходы на содержание круглосуточной службы эксплуатации могут составить порядка 2 млн. рублей в год у каждого субъекта. Учитывая, что количество участников отношений оценивается разработчиком в 10 тысяч участников, затраты для отрасли на обеспечение круглосуточной службы эксплуатации могут составить порядка 20 млрд. рублей в год.
   Таким образом, представляется необходимым доработать пункт 2 в соответствии с замечанием или представить дополнительное обоснование необходимости включения указанных элементов в систему управления сетью связи.
3. Пункт 3 проекта акта содержит требования, которые относятся к организационным мероприятиям и/или не могут быть отнесены к требованиям к системе управления сетью связи, а также не соответствуют предмету проекта акта.
   Так, например, планирование использования сети связи, предусмотренное в подпункте «ж» пункта 3 проекта акта, является организационным мероприятием.
    Исполнение указаний Роскомнадзора, предусмотренное подпунктом «з» пункта 3, информирование центра мониторинга и управления сетью связи общего пользования, предусмотренное подпунктом «е» пункта 3, выполнение правил маршрутизации сообщений электросвязи, предусмотренное подпунктом «л» пункта 3 проекта акта, могут осуществляться оператором связи, а не системами управления.Таким образом, представляется необходимым проинвентаризировать требования, указанные в пункте 3 проекта акта, с целью исключения из их числа требований, выполняемых не напрямую системой управления сетями связи.
4. Пунктом 4 проекта акта регламентируется необходимость обеспечения защиты от несанкционированного доступа к информации, содержащейся в автоматизированной системе управления (далее – АСУ), в соответствии с требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. № 31, не ниже 3 класса защищенности автоматизированных систем управления производственными и технологическими процессами. По оценкам субъектов предпринимательской деятельности, стоимость создания инфраструктуры для реализации вышеуказанных требований на 400 помещений может составить порядка 447 млн. рублей. Кроме того, для поддержания такой инфраструктуры может потребоваться порядка 21 млн. рублей ежегодно.
    Принимая во внимание, что переходный период проектом акта не предусмотрен, отмечаем значительные единовременные затраты на выполнение требований проекта акта.
5. Подпунктом «и» пункта 3 проекта акта устанавливается требование по обеспечению фиксации даты, времени, иных сведений, позволяющих восстановить историю действий с АСУ и о доступе к ее программным и техническим средствам, а также ведение системных журналов, содержащих информацию о работе АСУ без конкретизации.Учитывая, что устанавливаемые требования подлежат контролю, в проекте акта должен быть предусмотрен полный перечень сведений, которые необходимо фиксировать.
6. В соответствии с подпунктом «б» пункта 3 проекта акта система управления сетью связи обеспечивает в том числе определение состояния АСУ, качества параметров услуг связи.
   При этом система управления сетью связи не получает информации с конечных пользовательских устройств и не является средством измерения. В этой связи система управления не может обеспечивать определение качества параметров услуг связи и проводить измерения.

7. Требование, предусмотренное подпунктом «д» пункта 3 проекта акта, для системы управления сетью связи, состоящее в обеспечении предупреждения угроз устойчивости, безопасности и целостности функционирования сети связи, не содержит конкретных мероприятий, которые должны быть осуществлены. Учитывая, что соблюдение указанного требования может являться составной частью контрольно-надзорных мероприятий, считаем необходимым детализировать указанное требование.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

Комментариев нет:

Отправить комментарий