понедельник, 22 февраля 2021 г.

Рекомендации по оценке показателей критериев экономической значимости объектов КИИ от ФСТЭК

 


  В феврале случилось неожиданное - ФСТЭК разместила в открытом доступе проект методики расчета экономических показателей категорий значимости объектов КИИ. Документ был анонсирован на ТБ-форуме 2019, было озвучено что документ будет ДСП.
  Прозвучали обещания опубликовать в ближайшее время проект методики для социальных показателей. Странно, но ничего не слышно про третью методику по экологическим показателям, также анонсированную в 2019 году.

    Предложения и замечания по проекту методического документа принимаются до 1 марта 2021 г., времени осталось мало. Форма для подачи замечаний приведена - https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2167-informatsionnoe-soobshchenie-fstek-rossii-ot-16-fevralya-2021-g-n-240-84-18

   Судя по тексту проекта методики, ФСТЭК традиционно считает что рекомендации = обязательным требованиям.

   Очень смущает пункт:

1.6. На основе настоящих Рекомендаций субъектами КИИ по согласованию с ФСТЭК России могут разрабатываться собственные подходы по определению оценки показателей экономической значимости с учетом отраслевой специфики функционирования объектов КИИ.

   Нет в 187-ФЗ и ПП127 никаких требований к субъекту КИИ что то согласовывать из собственных методик категорирования с кем -либо, включая ФСТЭК. Субъект КИИ имеет полное право игнорировать метрекомендации от ФСТЭК и рассчитывать показатели категории значимости в соответствии со своими взглядами и позицией.

  Проект методики по экономическим показателям отличный повод обсудить вопрос экономических издержек  субъекта КИИ на выполнение 187-ФЗ и их целесообразность.


   Исходные данные:

   1. Рассматриваем только затраты на расчет ОДНОГО показателя значимости № 9 "Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической  информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)"

  2. ФСТЭК требует обязательного расчета этого показателя и утверждает, что он не может быть нулевым. То есть, все субъекты КИИ будут его считать и оформлять.

  3. Количество субъектов КИИ в стране по оценке ФСТЭК - 500 000 организаций.

  4. Расчет показателя № 9 требует по оценке ФСТЭК обязательного привлечения работника финансового отдела (бухгалтерии). Будем считать, что трудозатраты финансиста составят 1 человек/час.

  5. Средняя зарплата в стране в 2020 году составила 49 456 рублей. При режиме 5*8, это 160 рабочих часов в месяц. Один человек/час на 2020 год = 309 руб.

  Считаем:

500 000 *309 = 154 500 000 рублей.

  Организации страны из 13 сфер потратят более 150 млн. рублей только на расчет одного показателя значимости!

 А ради чего? Просто для доказательства ФСТЭКу, что к объекту КИИ применим или не применим данный показатель № 9.

  Предположим, что половина субъектов КИИ владеет исключительно незначимыми объектами КИИ (точные пропорции знает только ФСТЭК, но не раскрывает их).

 Тогда, субъекты КИИ потратили 75 млн.рублей впустую, им не требуется дальше защищать эти незначимые объекты КИИ. Это цена запрета на "нулевой" показатель № 9.

  Да у нас преступники столько ущерба не нанесли КИИ РФ за три года - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-tri-goda-5ffae131af142f0b1716ee38

  Максимальный ущерб был нанесен в размере - "причинение имущественного вреда указанной организации на сумму 655 034,52 рублей".

  Понятно, что мои рассуждения базируются на очень грубых предположениях о конкретных цифрах. Но связка "неопределенность терминов 187-ФЗ" + "избыточная сложность расчета показателей в ПП127"  = существенные экономические издержки для 13 сфер экономики страны. Просто в силу масштаба и бесполезности для обеспечения безопасности КИИ РФ (незначимые объекты КИИ не требуется защищать). Трудозатраты понесены субъектом КИИ, а защищать в дальнейшем не будем.

   И тратить эти деньги страна будет каждые 5 лет! Ради чего?

  И ведь это мы еще не посчитали затраты на проведение экспертной оценки при распределении ущерба от компьютерной атаки с организации целиком с распределением на конкретные объекты КИИ. Не учли стоимость делопроизводства и почтовых услуг, стоимость проверочных мероприятий - ФСТЭК тоже зарплату получает. И только ОДИН показатель ведь.

  Необходимо срочно вносить изменения в 187-ФЗ и ПП127, для обоснования достаточно Минэкономразвитию задаться вопросом стоимости исполнения 187-ФЗ за прошедшие три года. 

   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

5 комментариев:

  1. Глава комитета Госдумы по информационной политике, информационным технологиям и связи высказался о необходимости господдержки интернета:

    «Без поддержки государства, без протекционистских мер, конечно же, мы вперёд IT-отрасли не продвинем. Во всём мире это происходит именно так.

    Очевидно, что интернет-гиганты проводят, с одной стороны, политику в своих интересах, с другой стороны, они всё равно проводят политику, которая близка коллективному Западу».
    Данная методика исходит из риск-ориентированного подхода и направлена на разделение среднего и малого бизнеса и крупного. Мелкому и среднему бизнесу расчет лишь поможет отказаться от излишних мер безопасности. Иными словами " вам яблоки по 3 рубля , но мелкие и много или по 5 рублей крупные красные, но мало " имхо Nikolay M.

    ОтветитьУдалить
  2. Можно сказать озвученная цифра чуть меньше минимальной. У нас сначала час над каждым показателем подумал спец по ИБ, потом час разжевывал комиссии (в том числе и позицию ФСТЭК по этому вопросу), потом приглашенному экономисту разжевал что надо сделать, потом экономист проводил расчеты и сводил цифры (1-2 часа), далее ознакомление комиссии и оформление.
    Итого 6 часов на показатель экономической значимости для 1 ОКИИ. Это еще не человеко-часы... И хотя последующие объекты (однотипные) будут оформляться быстрее,но ОКИИ тоже может быть много разных. Еще комиссия минимум 6 человек...
    Так что затраченные человеко-часы (совсем усредненные) на экономический показатель можно в приведенном примере умножать на 5.

    ОтветитьУдалить
    Ответы
    1. https://valerykomarov.blogspot.com/2019/02/2019-2.html
      реакция ФСТЭК на подобные вопросы

      Удалить
  3. Дальше юридическая позиция. Юристы не понимают что значит рекомендации обязательные к исполнению. Кто будет нести ответственность за высказанное мнение? Мы правовое государство? Что за принуждение к исполнению чьего-то мнения, тем более что это принуждение проводилось в прошлом году по телефону... Это тоже самое что во время пандемии больных лечили по телефону (примеров масса как выписывали лекарства по телефону).

    ОтветитьУдалить
    Ответы
    1. Это ни о чем. Важна готовность юристов сформировать позицию работодателя и отстаивать ее в прениях с надзором и в судах. Если ее нет, то понимает юрист или не понимает - не имеет никакого смысла.

      Удалить