Обеспечение технологической независимости КИИ. Попытка номер 2.

 

  Опубликована вторая версия законопроекта на тему "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры https://regulation.gov.ru/Projects/List#npa=109874, общественное обсуждение продлится до 26 ноября 2020 г., призываю подавать свои замечания и предложения.

   Замечания по первой версии давал в заметке блога - https://valerykomarov.blogspot.com/2020/05/blog-post_25.html

  Посмотреть ответы Минцифры на все поступившие замечания к первой версии можно здесь 

Из примечательных ответов Минцифры:

   Замечание: полномочия Минкомсвязь (Постановление Правительства РФ от 02.06.2008 N 418 "О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации"), не позволяют вносить в Правительство Российской Федерации проекты федеральных законов, нормативных правовых актов Президента Российской Федерации и Правительства Российской Федерации и другие документы, по которым требуется решение Правительства Российской Федерации в сфере ИБ и безопасности КИИ. В области обеспечения безопасности КИИ уполномочен - ФСТЭК России.

    Ответ: ФСТЭК России уже является соисполнителем. 

Причем здесь соисполнитель? Вносить в Правительство опять будет Минобороны? 

    Замечание: Почему требования предъявляют ко всем ОКИИ, а не только к значимым? Ведь остановка незначимых ОКИИ не приводит к к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. Для незначимых ОКИИ нет требований даже базовые меры безопасности реализовать.

   Ответ: распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

   Интересно, а Минцифры в курсе, что ФСТЭК отвечает за проверку соблюдения процедуры категорирования субъектов КИИ? Мы решили прописать всем, потому что ФСТЭК плохо справляется с своей работой? Такое отношение приведет к росту сознательного уклонения от статуса "субъект КИИ".

   Отличные результаты за три года у Минцифры: 1% провел категорирование, 1 % подал Перечни  и только готовится категорировать из регулируемой сферы. Видя как 98% субъектов в сфере "связь" игнорируют 187-ФЗ, понятно откуда причины такого ответа у Минцифры.

    Ответ "технологическая независимость объекта КИИ напрямую связана с обеспечением безопасности КИИ Российской Федерации, что соответствует целям 187-ФЗ – не учтено" я просто не понимаю. В 187-ФЗ указана не безопасность КИИ РФ "от всего", а задана ст.1 однозначно и узко:

Статья 1. Сфера действия настоящего Федерального закона

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

  Причем здесь технологическая независимость КИИ РФ? Не от санкций или политически-экономических решений зарубежных поставщиков, а исключительно "при проведении компьютерных атак".

  Ну и самое забавное. Нам предлагают импортзамещаться только на объектах КИИ, но не на оборудовании сетей электросвязи (относятся к КИИ, но не являются объектами КИИ)! А кто у нас регулирует по закону безопасность сетей электросвязи? Минцифры и регулирует. Пример разбирал здесь.

  Собственно, основной головной болью субъектов КИИостается неопределенность с определением самих объектов КИИ. Мы до сих пор понять не можем, что относить к объектам КИИ,а теперь еще и спланировать должны импортозамещение всего этого. Очень наглядно это разобрано в цикле заметок про АСУ https://valerykomarov.blogspot.com/2020/10/blog-post_19.html

  На отчет об оценке регулирующего воздействия без слез не посмотреть, никакой конкретики не указано ни по одному из показателей. Формально замечание к первой попытке на отсутствие такого отчета выполнено, но лучше его не читать.

  Замечу, что 

"д) по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование российского ПО и оборудования, установленных Указом Президента Российской Федерации от «__» ______ 20__ г. № ____ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры », подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО и (или) оборудования (далее – План);

е) в течение 30 (тридцати) рабочих дней с момента утверждения Плана направить копию Плана в Минцифры России и Минпромторг России."

  Всего полгода выделяется на планирование у субъекта КИИ. И никаких процедур внесения изменения в утвержденные планы не предусмотрено. 

  И собственно, очередная попытка провести одним пакетом сразу несколько НПА разного уровня - Указ Президента, Постановление Правительства и Приказы ФОИВ. 

  Очень заинтересовал пункт

"К ПО и (или) оборудованию, предназначенному для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, дополнительно к настоящим требованиям применяются требования, утверждаемые ФОИВ, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации."

  Явно идет речь о средствах ГосСОПКА и Приказе ФСБ России от 06.05.2019 N196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"

   Какое отношение средства ГосСОПКА имеют к объектам КИИ? Они не входят в их состав.Это что же, под эти требования по технологической независимости попали центры ГосСОПКА? Или им не грозит, так как они себя субъектами КИИ не признают?

   Да и распространение требований на систему защиту ЗОКИИ не подарок. Извольте переходить на отечественные средства защиты информации.

   Серьезный такой намек от государства для тех субъектов КИИ, которые сейчас приступили к проектированию своих систем безопасности. 

   

   Так что, не проходите мимо, активно участвуйте в процедуре общественного обсуждения законопроекта. Коснется многих.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite