Страницы

среда, 16 октября 2019 г.

Цена 187-ФЗ. Ретроспектива


     В 2012 году ФСТЭК предприняла попытку внести изменения в 149-ФЗ, в которых предлагалось «Частью 3 статьи 1 проекта акта предлагается дополнить редакцию закона № 149-ФЗ статьей 16.2, содержащей положения, определяющие требования к защите ИС КВО». 
     Но инициатива ФСТЭК получила разгромное заключение Минэконразвития. И требования к защите КСИИ КВО в федеральном законодательстве так и не появились, а через 4 года появился законопроект будущего 187-ФЗ, который был принят без всяких экономических расчетов и обоснований.

     ЗАКЛЮЧЕНИЕ от 17 августа 2012 г. об оценке регулирующего воздействия
на проект федерального закона «О внесении изменений в Федеральный закон
«Об информации, информационных технологиях и о защите информации»
3.2. Частью 3 статьи 1 проекта акта предлагается дополнить редакцию закона
статьей 16.2, содержащей положения, определяющие требования к защите ИС КВО. Согласно информации, представленной в пояснительной записке к проекту акта, в сферу действия предлагаемого регулирования попадает 4400 объектов, большая часть из которых находится в ведении субъектов предпринимательской деятельности. Учитывая значительное количество указанных объектов, необходимость установления проектом акта существенных требований к ИС КВО требует соответствующего исследования и обоснования.
         Исходя из анализа информации, представленной разработчиком в таблице пункта 1 Приложения № 2 к Письму (Таблица 1 настоящего заключения), принятие проекта акта в отношении всех ИС КВО представляется необоснованным.
     Так, представляется нецелесообразным распространение требований проекта акта на ИС КВО в химической промышленности, металлообрабатывающей промышленности, общем машиностроении вследствие того факта, что ущерб, на предотвращение которого направлены нормы проекта акта, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.
      Результаты примерных расчетов затрат на обеспечение защиты информации в ИТ-системах критически важных объектов в зависимости от особенностей информационных систем и уровней ущерба по отраслям промышленности
Отрасль
Оценочная средняя стоимость информационной системы КВО (млн.руб.)
Ориентировочная  стоимость построения системы защиты информации (млн.руб.)
Средний уровень ущерба (млн.руб.)
Автомобильная промышленность
30
2.5
100
Химическая промышленность
50
3.5
1
Радиоэлектронная промышленность
50
3.5
5
Пищевая промышленность
5
0.5
10
Металлообработка
30
2.5
0.1
Общее машиностроение
30
2.5
0.5
Нефтегазовая отрасль
100
7
200
Энергетика
100
7
300
Транспорт
50
3.5
300
Водоснабжение и канализация
20
1.6
5

    Кроме того, установление требований проекта акта в отношении ИС КВО в других отраслях промышленности представляется требующим дополнительного обоснования. Разработчиком в дополнительных материалах к проекту акта и в письме не приводится статистических данных о размере ущерба, наступившего вследствие инцидентов в сфере защиты информации в ИС КВО, в Российской Федерации по отраслям промышленности. Вместе с тем в таблице пункта 2 Приложения № 2 к Письму приведена информация о характере нанесенного ущерба и соответствующем количестве инцидентов в мире по состоянию на конец 2011 года (Таблица 2 настоящего заключения).
   Таблица 2 Сведения о характере ущерба, наступившего вследствие инцидента информационной безопасности
Характер нанесенного ущерба
Количество случаев в мире (на конец 2011 года)
Нарушение производственного процесса
62
Потеря контроля над оборудованием
50
38
Потеря изображения
32
Потеря связи
22
Вредные экологические выбросы
12
Нарушение общественного порядка
10
Поломка или утрата оборудования
9
Единичные ранения или смерть одного человека
7
Повреждение частной собственности
5
Неправомерное использование оборудования
5
Массовые ранения или смерть нескольких человек
5
Последствия отсутствуют
3
Штраф
3
Утрата продукции
2
Потеря информации
1
Итого
266

   Указанная статистика свидетельствует о незначительном количестве инцидентов в сфере информационной безопасности в мире. Вместе с тем, согласно информации, представленной разработчиком в Приложении № 1 к Письму, количество инцидентов информационной безопасности в мире имеет тенденцию к росту (Диаграмма настоящего заключения). Учитывая указанную информацию, а также изложенное, представляется особенно важным рекомендовать разработчику изучить мировой опыт в области защиты информации, а также оценить последствия принятия проекта акта с учетом ожидаемых выгод (предотвращаемого ущерба) и ожидаемых затрат субъектов предпринимательской и иной деятельности, направленных на выполнение положений предлагаемого регулирования.
   Дополнительно необходимо обратить внимание на данные о распределении уровня ущерба по отраслям промышленности, представленные в таблице пункта 4 Приложения № 2 к Письму (Таблица 3 настоящего заключения).
       Диаграмма Распределение инцидентов информационной безопасности в информационных системах критически важных объектов по годам

    Согласно указанным данным, наибольшее количество инцидентов в области защиты информации и наибольший соответствующий ущерб наблюдались в автомобильной промышленности, нефтегазовой промышленности, энергетике, транспорте. Таким образом, представляется целесообразным оценивать возможность установления повышенных требований в области защиты ИС КВО именно в указанных отраслях промышленности. Кроме того, количество инцидентов в области защиты информации и общий ущерб от них представляются незначительными по сравнению с совокупными затратами субъектов предпринимательской деятельности, направленными на выполнение норм предлагаемого регулирования. Вместе с тем, ряд требований по защите информации в ИС КВО уже установлен в действующих нормативных правовых актах Российской Федерации, регулирующих организационные и правовые основы в сфере обеспечения безопасности соответствующих объектов. Так, статьей 11 Федерального закона от 21 июля 2011 г. «О безопасности объектов топливно-энергетического комплекса» (далее - закон ) на субъекты топливно-энергетического комплекса (далее – ТЭК) возложена обязанность по созданию на объектах ТЭК системы защиты информации и информационно-телекоммуникационных сетей, от неправомерного доступа, уничтожения, модификации, блокирования информации и иных неправомерных действий.
Таблица 3 Сведения о распределении уровня ущерба по отраслям
сль
0р.
<300т. р
300т. р.-3млн. р
3млн. р – 30млн. р.
30млн. р.– 300млн. р.
>300млн. р.
Средний уровень ущерба. (млн. р.)
Автомобильная промышленность
0
0
0
0
0
1
100
Химическая промышленность
1
3
2
0
1
0
1
Радиоэлектронная промышленность
0
0
1
0
0
1
5
Пищевая промышленность
0
0
1
2
1
0
10
Металлообработка
0
1
0
0
0
0
0.1
Общее машиностроение
1
0
1
0
0
0
0.5
Нефтегазовая отрасль
3
11
1
1
1
3
200
Энергетика
1
3
4
1
2
3
300
Транспорт
0
0
1
0
2
3
300
Водоснабжение и канализация
1
6
5
2
0
0
5
Прочее
1
2
0
0
1
0
2

    Существенная часть объектов ТЭК являются критически важными объектами. Таким образом, во исполнение положений закона , субъектами ТЭК уже реализованы необходимые мероприятия по созданию систем защиты информации в информационных системах. Предусмотренные проектом акта требования к защите ИС КВО с учетом классов информационных систем, которые предстоит установить соответствующим федеральным органам исполнительной власти в соответствии с предлагаемой проектом акта частью 3 статьи 16.2 закона , могут привести к существенным дополнительным материальным и временным издержкам, вследствие необходимости приведения в соответствие с нормами проекта акта действующих системы защиты ИС КВО, эксплуатируемых субъектами ТЭК с учетом требований закона .

P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

Комментариев нет:

Отправить комментарий