пятница, 20 ноября 2020 г.

Автоматический или автоматизированный?Все равно ОКИИ! Предложения.

 


   Цикл заметок получился довольно объемный. Рассмотрели множество автономных готовых устройств с встроенной автоматикой и компьютерным управлением, подходящими под критерии ФСТЭК для отнесения таких устройств к объектам КИИ тип "АСУ". Пришло время подвести итоги и предложить пути решения возникших противоречий.
    Ранее опубликованы:

  Где системный подход к обеспечению безопасности КИИ РФ?
  Случилась эпидемия короновируса, вспомнили об аппаратах ИВЛ. Не случилось бы, ограничились только МРТ и КТ. 
   Про транспортные средства никто даже задумываться не хочет, а вот свежая новость - "Кроме того, «ЭРА-Элемент» позволяет через мобильное приложение управлять функциями (автозапуска, подогрева, открытия и закрытия дверей и т.д.), контролировать состояние и положение авто, осуществлять противоугонные функции (метка, блокировка, реагирование, поисковый маяк), а также отслеживать через приложение поездки, нарушения и уровень безопасности вождения. В приложении также появится код ошибки, в случае ее выявления бортовым компьютером. В числе клиентов также называются коммерческие автопарки, которые должны контролировать водителей.". А ведь это дальнейшее развитие «ЭРА-ГЛОНАСС», устанавливаемую на всех автомобилях в РФ. Ни на этапе разработки, не на этапах закупок никаких требований по обеспечению безопасности как ЗОКИИ не предъявляется.
    Собственно, еще на этапе принятия будущего 187-ФЗ одним из профильных комитетов Госдумы проблема была озвучена.
    Заключение Комитета по информационной политике, информационным технологиям и связи от 24.01.2017 
N 3.27-6/34 "На проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"    
"Нуждается в дополнительном обсуждении необходимость введения в законодательство понятия "автоматизированная система управления технологическими процессами", либо его конкретизация применительно к предмету регулирования законопроекта, поскольку указанное понятие является чрезмерно обобщающим, под которое подпадают любые автоматизированные системы управления, не имеющие отношения в целом к информационной сфере, и к безопасности критической информационной инфраструктуры в частности.
   Законопроектом предлагается установить, что категорирование объектов критической информационной инфраструктуры Российской Федерации осуществляется самостоятельно субъектами критической информационной инфраструктуры. Такой подход с точки зрения интересов государственного регулирования в сфере информационной безопасности нуждается в содержательном пересмотре в пользу позиции о необходимости осуществления категорирования объектов критической информационной инфраструктуры не самостоятельно собственниками и пользователями имущества, относящегося к объектам критической информационной инфраструктуры, не по результатам плановых и внеплановых проверок в рамках государственного надзора (контроля), а непосредственно силами и средствами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры.
   Ну что же, не захотели услышать и имеем что имеем.
   Наиболее распространенный аргумент моих оппонентов - "разве не надо защищать такие изделия от компьютерных атак"? Несомненно, что сложное современное компьютеризированное оборудование уязвимо для компьютерных атак и требует принятия мер обеспечения защиты от них. Однако, учитывая существенное негативное влияние на финансово-экономическое состояние субъекта КИИ и рост его уголовно-правовых рисков, избыточно  защищать в рамках 187-ФЗ.
   Мои предложения:
   1. Обязательное включение в состав комиссий по категорированию госорганов, госучреждений и предприятий госкорпораций сотрудников ФСТЭК России. Никаких дополнительных полномочий для этого ФСТЭК не требуется. Независимость процедур оценки правильности результатов категорирования обеспечивается структурой ФСТЭК (в работе комиссий участвуют территориальные органы, а проверяет центральный аппарат). Более того, это уже фактически предусмотрено в рамках госконтроля ЗОКИИ.
 "12. Категория значимости, к которой отнесен ЗОКИИ, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:
   по мотивированному решению ФСТЭК, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности ЗОКИИ;"
  Зачем ждать три года? Пусть ФСТЭК берет сразу на себя ответственность за принятое решение. И отвечает перед Минцифры за целевое назначение субсидий на обеспечение безопасности государственных ЗОКИИ. И жесткий спрос по проекту КоАП будет обоснован в последующем, регулятор все обеспечил - обоснованное отнесение к ЗОКИИ есть, деньги на системы безопасности выделены. Не сделал к проверке - сам виноват, получай штрафы многотысячные.
   2. Защиту автономных компьютеризированных устройств, не объединенных в сети (ИС/АСУ), обеспечить через отраслевое регулирование. Выпуск приказов отраслевых регуляторов по 13 сферам,в которых будет прописано обязательность выполнения в отношении таких устройств требований 239 приказа ФСТЭК. Это позволит реализовать меры защиты от компьютерных атак и избежать избыточности требований 187-ФЗ. Это не ОКИИ, но подлежит защите как ЗОКИИ. Защищенность таких устройств даже повысится, поскольку избегаем всех "непоняток"при категорировании. Не важен ни тип, ни сфера функционирования. 
   3. Необходимо регулирование закупочных процедур готовых изделий, на которые в дальнейшем распространятся требования по обеспечению безопасности ЗОКИИ.
   Банальный пример - централизованная закупка и поставка аппаратов МРТ в медучреждения в рамках национальных/региональных  проектов/программ. Субъектом КИИ будет больница, но получит она "кота в мешке", поскольку при закупке центральный орган никаких требований к поставщику готового изделия не предъявляет. Раз у государства есть обоснованное желание устанавливать требования к составу оборудования и программного обеспечения готовых изделий (239 приказ ФСТЭК и проекты Минцифры по "импортозамещению"), а также введение карательных мер принуждения (КоАП), то подход должен быть системным и государственным. Иначе, поставленное оборудование будет лежать на складах больниц, а не спасать жизнь и здоровье людей.
   Решается это достаточно просто, через выпуск типовых разделов в госконтракты на закупку и перечня готовых изделий, для которых это реализуется в обязательном порядке. Легализацию вполне можно провести через отраслевые приказы. Хотя бы для приоритетных сфер КИИ,в которых государство сейчас активно выделяет финансирование на обновление фондов - ОПК, здравоохранение, транспорт, ТЭК.
   
   Но есть проблема, для реализации подобных предложений, ФСТЭК должна давить на отраслевых регуляторов, а не на субъектов КИИ. А надежд на это мало.
   По хорошему, надо проводить анализ произошедшего за три года выполнения 187-ФЗ и писать новый закон, в котором будет учтен весь накопленный опыт.

P.S. Сформировал отдельный раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий