Закон о КИИ действует два полных года. Традиционно, руководители НКЦКИ и ФСТЭК отчитаются в конце января в своих докладах на Инфофорум -2020 за 2019 год. В начале февраля на ТБ-форуме ФСТЭК подробно расскажет о достигнутом и предстоящем. Попробуем и мы подвести итог их деятельности, а потом сравним с докладами.
Для реализации такого крупного и важного дела необходимо обеспечить:
1. единоначалие (единый координирующих центр (организатор) в стране)
2. законодательное обеспечение
3. методическое обеспечение
4. подготовленные исполнители (кадры)
5. финансовое обеспечение
6. ресурсное обеспечение (техническое)
7. мотивация участников
Или, если по человечески, должны быть четко заданы правила игры, игроки должны быть обучены правилам и обеспечены игровым реквизитом, должен быть авторитетный ведущий. И самое главное, игроки должны хотеть играть по этим правилам и с этим ведущим.
НКЦКИ предлагает оценивать зрелость по трем уровням
А в наличии у нас:
1. Никакого единоначалия. Самая главная проблема с реализацией 187-ФЗ - отсутствует орган государственной власти, уполномоченный и отвечающий за его выполнение. Назначено 5 организаций - ФСБ, ФСТЭК, ЦБ, Минкомсвязь, НКЦКИ. Каждая организация отвечает только в своем узком секторе и преследует исключительно свои ведомственные интересы. Единственное достижение за два года - ФСБ создала НКЦКИ, а ФСТЭК создала отдельное 8 управление и отделы в своих территориальных органах. Не с первой попытки, с проблемами, но теперь есть отдельные подразделения по КИИ.
2. На первый взгляд, в законодательном обеспечении полный порядок. А при детальном изучении не так уж все и радостно - https://valerykomarov.blogspot.com/2018/03/187.html. За два года так и не выпущен приказ Минкомсвязи "Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры". Уже внесены изменения в ПП127, большинство приказов ФСТЭК. На первый квартал 2020 уже запланировано очередное изменение 239 приказа ФСТЭК https://fstec.ru/component/attachments/download/2592. Это говорит о поспешности и недоработке документов. Деятельность НКЦКИ по развитию ГосСОПКА вообще законодательно не обеспечивается. Статистика применения ст.274.1 УК РФ (4 судебных приговора) показывает, что данная статья не работает. Никакой необходимости в ней за два года не возникло. Преступники получили бы такое же наказание и по существующим статьям УК РФ в сфере компьютерных преступлений. Это особенно наглядно при совершении преступлений работниками операторов связи.
Прогноз - негативный. На 187-ФЗ пытаются дополнительно нагрузить задачи по обеспечению технологической независимости, а не исключительно от компьютерных атак. https://valerykomarov.blogspot.com/2020/01/187_5.html
3. Методическое обеспечение полностью провалено. ФСТЭК не выпустила документов, которые уже прописаны в действующих подзаконных актов.
Как моделировать угрозы будем? Опять по древним методикам 2008 года, в которых БДУ никак не учтено?
"Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.". Замечу, что однозначно указано на обязательность использования субъектом КИИ авторских методик ФСТЭК, утвержденных в установленном порядке. Не имеет право субъект КИИ использовать свои методики. Даже, если они согласованы с ФСТЭК!
И касается это не только ФСТЭК, но и ФСБ и Минкомсвязь. Это приводит к невозможности выполнения субъектами КИИ требований законодательства. Так, с 1 января 2020 года вступило в силу Постановление Правительства РФ от 08.06.2019 N 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры".
ФСТЭК, где порядок из п.3?
"Допускается использование ресурсов сети связи общего пользования в целях обеспечения функционирования значимых объектов при отсутствии технической возможности использования ресурсов сетей электросвязи, не присоединенных к сети связи общего пользования, либо необходимости дополнительного резервирования каналов связи при условии согласования субъектом критической информационной инфраструктуры подключения значимого объекта с Федеральной службой по техническому и экспортному контролю в части достаточности применяемых при таком подключении программно-аппаратных и (или) программных средств обеспечения безопасности значимых объектов. Порядок указанного согласования определяется Федеральной службой по техническому и экспортному контролю."
Что у нас с выполнением п.5?
- в соответствии с требованиями по защите сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, устанавливаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;
- информационную безопасность своей сети связи, задействованной при организации взаимодействия значимых объектов, в соответствии с требованиями, устанавливаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;
- соответствие средств связи уровням доверия на основе требований, устанавливаемых Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю, с учетом структуры сети связи и значимости сети связи.
Уже как 8 дней субъекты с ЗОКИИ выполнять обязаны!!!
От создания методик, учитывающих отраслевые особенности, ФСТЭК вообще дистанцировался.
За два года вышла только одна методика, учитывающая особенности отрасли связи. Пусть и не в полном объеме (только для коммерческих операторов связи). Но и она сразу устарела, в силу низкого качества законодательного обеспечения. Методика для ТЭК слишком общая и не содержит отраслевой конкретики. 12 отраслей спасаются как могут. Выпущенные коммерческими организациями и ассоциациями методики носят общий характер и не отражают отраслевых особенностей. А уж что делать организациям (обеспечивающим взаимодействие), которые то ли стали субъектами КИИ, то ли не стали, вообще не понятно и никак не регламентируется и не комментируется.
4. "Кадры решают все". С кадрами полный провал. Низкую квалификацию специалистов ИБ признает сама ФСТЭК (см. слайд презентации выше). Так ведь, в силу несовершенства законодательства, в субъекты КИИ попали организации ,которым вообще специалисты ИБ и не были нужны. Остроту проблемы можно было бы снизить за счет нормального законодательства и наличие методических документов. Но ФСТЭК, изначально зная о реальной готовности кадров на местах, не воспринимает предложений по упрощению процедур в ПП127, никак не влияющих на результат категорирования. Ситуация с методичками описана выше. Перспектив по решению проблемы кадров не видно.
Продолжение следует.....
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Опечатка "мотодичками".
ОтветитьУдалитьС написанным согласен! Не хватает счетчика одобряющих и неодобряющих. Было бы наглядно для тех, кто читает критику...
ps Корреляцию субъектов КИИ и голосующих может хватило бы ума провести...
Спасибо, исправил.
ОтветитьУдалить