четверг, 13 февраля 2020 г.

Очередные правки в 239 приказ ФСТЭК. Правила игры меняются.




    На https://regulation.gov.ru/projects#npa=99311 для общественного обсуждения опубликован проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». У нас есть время до 20 февраля 2020 года, что бы повлиять на формулировки. Призываю активно участвовать в процедуре общественного обсуждения.
    Начнем с пояснительной записки к законопроекту. Надо ведь понять замысел авторов и целеполагание.
      Смотрим:
  Пояснительная записка к проекту приказа Федеральной службы по техническому и экспортному контролю «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239»

    "Изменения направлены на использование в критической информационной инфраструктуре Российской Федерации преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости и безопасности, а также создания условий для продвижения российской продукции. 
   При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 25 декабря 2017 г. № 239  «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
    Вносимые изменения касаются уточнения условий выбора программного обеспечения и оборудования, используемого в составе значимых объектов критической информационной инфраструктуры, а также порядка его принятия к эксплуатации на таких объектах."

   Вопросы: 
   1. Как подзаконный акт может быть направлен на реализацию целей, не отраженных в самом законе. В 187-ФЗ нет никаких упоминаний о "технологической независимости" или "условиях для продвижения отечественной продукции". Если так хочется внести требования в приказ о требованиях по безопасности, то сначала надо внести изменения в 187-ФЗ. И про такие попытки я уже писал в блоге.
   2. Ну какая правоприменительная практика по 239 приказу? С десяток ЗОКИИ на всю страну?

  Вывод: поздравляю, в КИИ новый регулятор - Минпромторг. О перспективах сотрудничества ФСТЭК и Минпромторга в области обеспечения безопасности КИИ рассказано в докладе на ТБ-форуме 2020

  Переходим к тексту законопроекта.
  Полная таблица изменений получилась объемной, для удобства анализа оформлена  в отдельный документ, ссылка    Важное:
  1. Положения пункта 8 изменений, прилагаемых ‎к настоящему приказу, вступают в силу с 1 января 2023 г. Речь про пункты 29.2-29.6 самого проекта Приказа.
  2. Входящие в состав значимого объекта программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации и для 2 категории значимости, а не только 1. И отсрочки не предусмотрено. Каждый год ужесточают требования. В следующем году стоит ожидать распространение  этого требования и на 3 категорию значимости.
   3. Непонятное определение "модернизации ЗОКИИ", данное в п.7 законопроекта. Почему модернизация ЗОКИИ это изменение архитектуры подсистемы безопасности ЗОКИИ?Какое то кривое определение. А, если у меня отдельное ТЗ на модернизацию ЗОКИИ, но без изменения архитектуры подсистемы безопасности, то безопасность не надо обеспечивать?
   4. Теперь обязаны практически проверять как защищены сами средства защиты информации.
   5. Сделали бессмысленной формулировку о возможности использования не сертифицированных СЗИ в ЗОКИИ. Процедуру самостоятельной оценки так усложнили, что субъекту КИИ проще и надежнее требовать сертификации, чем брать на себя все эти проблемы и ответственность. Я придерживался такой позиции и ранее, теперь это явно и формализовано прописано.
   6. Сняли запрет на удаленный непосредственный доступ к ЗОКИИ для обновления и управления "не работниками субъекта КИИ", теперь опасаемся исключительно иностранцев или "неправильных" россиян. Вот здесь для субъектов КИИ начинаются проблемы с проявлением должной осмотрительности. Мало запрашивать всю подноготную подрядчиков, так еще и контролировать изменения в ходе исполнения договора. Механизм не очень понятен, особенно на уровне приказа, а не федерального закона.
    7. Слегка замаскированный запрет на использование зарубежного ПО и оборудования в составе ЗОКИИ любой категории и сразу. Отсрочка не предусмотрена.
  
    Итог: владельцам ЗОКИИ не позавидуешь. Государство меняет правила игры с завидной регулярностью. Мотивацию предусматривает исключительно кнутом штрафами через изменение КоАП.
   На мой взгляд, ФСТЭК поспешил с публикацией таких изменений. Надо было дождаться окончания массового категорирования госучреждений, у которых крайний срок -1 сентября 2020 года. Сейчас прогнозируется массовый уход в занижение категории ОКИИ.
   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
******Группа вконтакте https://vk.com/klub187fz

13 комментариев:

  1. А ещё регулятор возмущается, мол почему это субъекты КИИ занижают категории или стараются остаться с ОКИИ без категории. Да вот именно поэтому и занижают.
    И все более правильным кажется подход, заключающийся в том, чтобы либо самостоятельно либо с привлечением специального юриста (как озвучивалось на Инфофоруме: юриста в области ИБ) обосновать собственную непринадлежность к числу субъектов КИИ.

    ОтветитьУдалить
  2. Тем кто уже подал перечни этот совет не поможет.

    ОтветитьУдалить
  3. Что ещё раз частично подтверждает военный тезис о том, что спешить с выполнением приказа не стоит...

    ОтветитьУдалить
  4. Нет. В армейском фольклоре это заканчивается "его успеют отменить". В нашем случае лучше подходит гражданская мудрость" не играй с государством в азартные игры". Приказ 9закон) не отменяют, а меняют ответственность субъекта КИИ и ужесточают условия в одностороннем порядке.

    ОтветитьУдалить
  5. Глядя на правоприменительную практику, вряд ли стоит так беспокоиться о несуразностях нормативной базы. Регуляторы в ходе своих проверок уже давно привыкли особо не заморачиваться с поиском "нарушений", придумывая их находу.
    Пример: проверка ФСБ находит месяц необновленный антивирус. Результат: штраф за нарушение требований Федерального закона 2006 г №149. Т.е. даже поленились сформулировать состав правонарушения (если оно было).

    Так же будет и с КИИ, неважно, что и как там написано в приказах.

    ОтветитьУдалить
    Ответы
    1. нет штрафа за нарушение 149-фз, есть ст.13.12 КоАП. Штрафы в ней предусмотрены.

      Удалить
    2. Это Вы так думаете. ФСБ считает иначе. Точнее, отдельные сотрудники ФСБ, не утруждающие себя юридическими правилами.

      Удалить
    3. А размер штрафа произвольно определён?

      Удалить
    4. Нет, статья 13.12. юрлицо. Просто состав правонарушения неграмотно определен.
      Примерно как ГАИшник оштрафовал бы за нарушение закона "О безопасности дорожного движения", а не "Правил...".

      Удалить
    5. а часть какая? вторая или шестая?

      Удалить
    6. Про часть не знаю.
      Какая бы часть ни была, все равно штраф выписан безграмотно. Это не редкость, кстати.

      Удалить
    7. Да, такое встречается. Дальше будет хуже, в законопроект по изменению Коап понижают уровень должности лица, выносящего решение о штраф.

      Удалить