Законодательное обеспечение технологической независимости КИИ

    Опубликован законопроект на скромную тему "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры" https://regulation.gov.ru/projects#npa=102172, общественное обсуждение продлится до 4 июня 2020 года, призываю подавать свои замечания и предложения.

   Изучение законопроекта привело меня в глубочайшее изумление.
   1. Выбор разработчика документа - Минкомсвязь. Если посмотреть на полномочия Минкомсвязи (Постановление Правительства РФ от 02.06.2008 N 418

"О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации"), то не наделено министерство правом "вносить в Правительство Российской Федерации проекты федеральных законов, нормативных правовых актов Президента Российской Федерации и Правительства Российской Федерации и другие документы, по которым требуется решение Правительства Российской Федерации" в сфере ИБ и безопасности КИИ. Ну вот не их это тема. В области обеспечения безопасности КИИ уполномочен  - ФСТЭК России.
   2. Наделение новыми полномочиями Правительства РФ "по утверждению требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения и оборудования" без изменения 187-ФЗ.       Статья 3 в 187-ФЗ прямо указывает "Отношения в области обеспечения безопасности критической информационной инфраструктуры регулируются в соответствии с Конституцией Российской Федерации, общепризнанными принципами и нормами международного права, настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами."        Каким образом "В целях обеспечения информационной безопасности в экономической сфере, в том числе обеспечения технологической независимости объектов критической информационной инфраструктуры, и в соответствии с пунктом 1 части 1 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»" в проекте Указа совпадает с с пунктом 1 части 1 статьи 6 187-ФЗ, на который нам авторы ссылаются? Президент Российской Федерации определяет:1) основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры;

   и как это бьется с ст.1 187-ФЗ
 "Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак."?
   
   и ст.2 187-ФЗ
"безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак"?

   3. В проекте ПП РФ вводят нового регулятора в сфере КИИ - Минпромторг. А Минкомсвязь наделили полномочиями по отношению ко всем субъектам КИИ, а не только в сфере связи.
  Авторам документа стоит все таки ознакомится с текстом 187-ФЗ. Ну нельзя же так над законодательством страны издеваться. Ст.6 187-ФЗ не наделило полномочиями Правительство РФ назначать новых регуляторов и задало конечный список этих самых регуляторов! 

   4. В проекте Указа обеспечение "технологической независимости"заявлено как часть основной задачи - обеспечение ИБ в экономической сфере.  Смотрим на проект Требований (приложение Постановления Правительства), а там заявлено только про эту самую независимость. А как же ИБ в экономической сфере?

   5. Где финансово-экономическое обоснование? У нас в стране потенциально 500 000 субъектов КИИ (по оценке ФСТЭК). Стоимость регулирующего воздействия посчитать не хотите на экономику страны?

   6. Почему опять заявляется, что "не потребует дополнительных расходов бюджетов бюджетной системы Российской Федерации"? Опыта реализации 187-ФЗ недостаточно?Минкомсвязь уже забыла про срочное субсидирование выполнения требований 187-ФЗ в госучрежедниях?

  7. И риторический вопрос. Права и обязанности субъектов КИИ указаны в ст.9 187-ФЗ, где там обязанность субъекта КИИ обеспечивать технологическую независимость своих ОКИИ?


   8. Философский вопрос к авторам. Почему требования предъявляют ко всем ОКИИ, а не только к значимым? Ведь остановка незначимых ОКИИ не приводит к к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Для незначимых ОКИИ нет требований даже базовые меры безопасности реализовать.

    Это были формальные замечания. Но есть огромный негатив и по содержательной части.

   К 1 сентября 2020 года должны быть утверждены требования,а потом за 4 месяца все субъекты КИИ их должны успеть выполнить! Это просто саботаж,а не требование. В бюджет организаций не заложены деньги на финансирование аврального перехода на отечественное. Государственным субъектам КИИ не реально провести конкурсные процедуры закупки в такие сроки. 

"Субъектам критической информационной инфраструктуры, руководствуясь Порядком, утверждаемым Правительством Российской Федерации, до 1 января 2021 г. осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2022 г. осуществить переход на преимущественное использование российского оборудования."

   Может это сроки только для вновь создаваемых ОКИИ?
   Нет, и для уже существующих."ПО (ранее установленного и используемого и (или) планируемого к приобретению субъектами КИИ), сведения о котором не включены в единый реестр российского программного обеспечения (далее – РПО) или единый реестр евразийского программного обеспечения (далее – РЕП);"

   Еще из прекрасного. Субъект КИИ должен будет успеть "направить на согласование перечень используемого и (или) планируемого к использованию иностранного ПО и (или) оборудования" в Минкомсвязь. А вот порядок согласования еще даже в в виде проекта не опубликован. Сколько времени потребуется Минкомсвязи на разработку, согласование с ФСТЭК и ФСБ, утверждение этого Порядка? Сколько времени займет процедура рассмотрения и согласование перечней субъектов КИИ?

   Выводы:
1. Реализация технологической независимости КИИ может проводится исключительно через внесение изменений в 187-ФЗ, либо принятие отдельного ФЗ. В любом случае, это новый ФЗ.
2. Принятие такого закона должно осуществляться после обязательной финансово-экономической оценки. 
3. Сроки выполнения должны задаваться реальными и осуществимыми.

P.S. Не знаю реакцию ФСТЭК/ФСБ на этот вариант законопроекта, но его принятие в текущей редакции приведет к очень негативным последствиям для безопасности КИИ. С одной стороны, он усилит мотивацию потенциальных субъектов КИИ не признавать себя таковыми. С другой стороны, все силы и средства субъектов КИИ будут брошены на срочное выполнение требований Минкомсвязи (аудиты, анализ, согласование, планирование, закупки и т.д.), а не на создание систем безопасности ЗОКИИ. И еще момент, сжатые сроки не позволят провести стендовые испытания отечественных аналогов перед внедрением на ОКИИ. 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite