четверг, 4 марта 2021 г.

Три года 187-ФЗ

   


   Вот и прошли три полных года применения 187-ФЗ в нашей стране. На двухлетнем этапе я пытался объяснить чем вызваны проблемы и трудности в его исполнении субъектами КИИ (https://valerykomarov.blogspot.com/2020/01/187.html и https://valerykomarov.blogspot.com/2020/01/187_10.html).

   Что то поменялось в лучшую сторону, что то ухудшилось, а что то так и осталось без движения.

   Предлагаю вернуться в 2017 год и посмотреть на замысел авторского коллектива, создавшего 187-ФЗ.

   Думаю, что трех лет достаточно для того, чтобы оценить чаяния авторов 187-ФЗ.  Насколько практические результаты совпали с анонсированными. Не свернули ли мы с пути верного и т.д.

  Комментировать прозвучавшее в Госудуме я не буду, каждый может самостоятельно сделать выводы.

  Отмечу, что от депутатов прозвучали вопросы актуальные и сейчас: стоимость выполнения требований закона для организаций и государства, размытость определений в законе, импортозамещение, уголовно-правовые риски субъектов КИИ, готовность страны к выполнению 187-ФЗ.


Полное видео



Выборка самых интересных вопросов - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/tak-prinimalsia-187fz-603f60041b252e28ff4fde11

Официальная стенограмма заседания 27.01.2017

ШАЛЬКОВ Д. В., официальный представитель Правительства Российской Федерации, статс-секретарь - заместитель директора Федеральной службы безопасности Российской Федерации.

 ПАШИН В. Л., фракция ЛДПР.

Дмитрий Владиславович, в финансово-экономическом обосновании сказано, что принятие данного законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечёт финансовых обязательств государства. Однако согласно статье 7 законопроекта под пунктом 12 в обязанности субъектов критической информационной инфраструктуры входит оказание помощи в обнаружении и предупреждении компьютерных атак, там говорится о возможности установления технических средств для поиска признаков компьютерных атак - все эти обязанности и права потребуют установления специализированного компьютерного обеспечения. Кроме того, согласно проекту закона в реестр будет внесено большинство федеральных органов власти, что также повлечёт за собой дополнительное финансирование из бюджета на установку программного обеспечения и реализацию закона. Непонятно: сначала закон примем, а потом будем искать финансовые средства для его реализации?

ШАЛЬКОВ Д. В. Спасибо за вопрос. Средства из государственного бюджета на решение этих вопросов уже выделены, действует государственная программа по обнаружению и противодействию компьютерным атакам - ГосСОПКА, у нас уже деньги есть, и мы работаем. Что касается владельцев объектов критической инфраструктуры - на большинстве этих объектов необходимое оборудование уже и так установлено, поэтому каких-то существенных затрат, по нашим прогнозам, у них не будет.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Максимов Василий Юрьевич.

МАКСИМОВ В. Ю., фракция "ЕДИНАЯ РОССИЯ".

Уважаемый Дмитрий Владиславович, вот у меня такой вопрос. Не могли бы вы расшифровать мне почётче положение в законопроекте под пунктом 14 о нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ? Вы мне скажите, пожалуйста, что вы имеете в виду, ведь там предусмотрены очень серьёзные сроки наказания и это будет касаться даже лечебных учреждений - что, нужно будет содержать специальную инфраструктуру для охраны терминалов, серверов и так далее?

ШАЛЬКОВ Д. В. Спасибо за вопрос. К объектам, на которые будут распространяться эти правила, будут отнесены наиболее крупные объекты, на них уже действуют определённые технические условия их функционирования и будут разработаны в развитие этого закона новые, но принципиально не отличающиеся.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Альшевских Андрей Геннадьевич.

АЛЬШЕВСКИХ А. Г. У меня вопрос противоположный. Вы сказали, что была атака на наш банковский сектор, - а можно поинтересоваться: нашли, кто это сделал? И если нашли, то по какой статье их привлекали, потому что вы сказали, что за данный вид правонарушений ответственность не была предусмотрена.

И ещё. Вот вы сказали, привели факты: центрифуги останавливали, взрывы были, пожары - на самом деле это вещи очень серьёзные. Как вы считаете, вот попытаются взломать и зайти в системы нашей атомной электростанции (ну, я чисто гипотетически, не дай бог, конечно), а мы потом привлечём к ответственности - пять лет исправительных работ, мести метёлкой у проходной этой атомной станции? Может быть, есть смысл подумать насчёт ужесточения ответственности за подобные вещи?

ШАЛЬКОВ Д. В. Спасибо за вопрос. Хочу сразу со второго начать. Законопроектом предусмотрено существенное усиление ответственности - до восьми лет лишения свободы. А что касается первого вопроса - по данному факту возбуждено, как вам известно, уголовное дело и ведётся предварительное следствие.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Свинцов Андрей Николаевич.

СВИНЦОВ А. Н., фракция ЛДПР.

Дмитрий Владиславович, вот вчера советник президента по вопросам развития Интернета Герман Клименко заявил в Генштабе, что, по всей видимости, России придётся двигаться по китайскому варианту ограничения доступа к иностранному сегменту сети Интернет. Скажите, пожалуйста, представляемый вами закон в случае его принятия и вступления в силу позволит обезопасить нашу страну, нашу критическую информационную инфраструктуру от международных хакерских атак, от атак внутри страны? Может быть, это только первый шаг и нам ещё предстоит большая работа по созданию хорошего законодательного поля, очень серьёзная техническая, так сказать, подготовка программного обеспечения? Или же всё-таки мы не успеем это сделать и нам придётся двигаться по китайскому варианту, то есть отрезать себя от международной части сети Интернет?

ШАЛЬКОВ Д. В. Спасибо за вопрос, Андрей Николаевич. Хочу пояснить, что мы готовы к отражению хакерских атак и какого-то промежуточного периода времени на разгон нам не понадобится.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Куринный Алексей Владимирович, пожалуйста.

КУРИННЫЙ А. В. Дмитрий Владиславович, у меня конкретный вопрос. То, что отражено в законопроекте, - это в основном борьба программными методами, то есть речь идёт о вредоносных программах, хакерских атаках и противодействии этому с помощью той программы, на которую сегодня выделены деньги из федерального бюджета. А вот что касается инфраструктуры, электронной в том числе, в которой, к сожалению, доля наших, отечественных продуктов или, так скажем, отечественных объектов достаточно низка, - ведь в объектах электронной инфраструктуры есть специальные чипы, которые передают информацию, более того, такие чипы сейчас есть в некоторых промышленных изделиях, в современных станках, которые установлены на наших военных предприятиях и по команде извне могут быть отключены, например не в рамках каких-то хакерских атак, а в рамках некоего государственного давления. Что в законопроекте есть по этому поводу?

ШАЛЬКОВ Д. В. Спасибо, Алексей Владимирович, за вопрос. Всё это нами учтено, и в рамках реализации данного закона будет использоваться только отечественное оборудование.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Коломейцев Николай Васильевич.

КОЛОМЕЙЦЕВ Н. В., фракция КПРФ.

Уважаемый Дмитрий Владиславович, я не знаю, каким образом вы это сделаете. Вот есть у меня официальная справка: из всего нашего рынка радиоэлектронной аппаратуры только 36 процентов составляет отечественная, половина устройств обеспечения безопасности импортируется из-за рубежа. Каким образом будут контролироваться эти агрегаты?

ШАЛЬКОВ Д. В. Спасибо за вопрос. Ещё раз повторяю, все средства, которые будут использоваться при реализации данного закона, будут отечественного производства.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Торощин Игорь Андреевич, пожалуйста.

ТОРОЩИН И. А., фракция ЛДПР.

Дмитрий Владиславович, вы в своём выступлении говорили о хакерских атаках, о центрифуге, и в связи с этим у меня возник вопрос: какие будут предъявляться требования к специальным организациям при аккредитации и получении допуска для оценки такой защищённости?

ШАЛЬКОВ Д. В. Спасибо за вопрос. У Федеральной службы безопасности уже наработан соответствующий опыт по лицензированию в этой сфере, он будет дальше применяться и развиваться.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Луговой Андрей Константинович.

ЛУГОВОЙ А. К. Вопрос касается оборудования, которое будет использоваться для отражения атак. В законопроекте действительно сказано, что должна использоваться только продукция отечественного производства, но ничего не сказано о компонентах. Не считаете ли вы необходимым ввести в законопроект норму о том, что не только оборудование должно быть произведено в России, но и его компоненты должны быть российского производства, ведь иначе мы ничего не получим и закон не будет работать?

ШАЛЬКОВ Д. В. Андрей Константинович, спасибо за вопрос. По нашим оценкам, даже если компоненты будут иностранные, мы сможем обеспечить необходимую безопасность.

ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Спасибо.

ДЕНЬГИН В. Е., фракция ЛДПР.

Уважаемый Александр Дмитриевич, уважаемые коллеги! Не соглашусь с Николаем Васильевичем: он, выступая, приводил такие примеры, такие цифры, что, конечно, за голову хватаешься, мол, всё у нас не так! Да нет, всё у нас так, Николай Васильевич, мы двигаемся, я не думаю, что предполагалось сначала создать законопроект, а только потом продвинуться в вопросах промышленности, производства, - будем надеяться, что весь процесс всё-таки будет идти.

Как говорил Владимир Вольфович Жириновский, сейчас война не будет длиться годами, она будет длиться пять минут: достаточно нанести удар по инфраструктуре, по промышленным предприятиям, по гидротехническим сооружениям, по всему, даже просто отключить свет - всё, государство рухнет, крах произойдёт, начнутся сумасшедшие катаклизмы. И тогда с чем мы столкнёмся? У нас нет закона, по мнению Николая Васильевича - у нас слабая инфраструктура. И тогда мы будем опять одни-одинёшеньки, весь Интернет идёт со стороны Соединённых Штатов Америки, они диктуют свои законы, и хотя, слава богу, в 2016 году система изменилась и теперь Интернет принадлежит международному сообществу, но факт остаётся фактом: нам необходимо принять подобный закон, поэтому фракция ЛДПР, естественно, его поддержит.

Но есть несколько моментов, которые, наверное, стоит упомянуть, отметить во втором чтении. Когда мы говорим о гидротехнических сооружениях, о промышленных предприятиях, необходимо обсудить вопросы гармонизации подходов к обеспечению безопасности в перечисленных областях и, соответственно, указать это в законопроекте.

Отдельные положения законопроекта требуют уточнения, для того чтобы его сделать более понятным и прозрачным. В частности, в статье 7 - об этом говорили уже сегодня коллеги - указано, что субъекты критической инфраструктуры вправе приобретать за собственный счёт технические средства предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в то же время в статье 8 говорится, что субъекты критической инфраструктуры обязаны обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения, - в связи с этим может потребоваться уточнение в части того, что включает в себя понятие постоянного взаимодействия с системой ГосСОПКА. Это мы тоже хотим увидеть в данном законопроекте и считаем, что необходимо это указать во втором чтении.

ЛЕВИН Л. Л. Уважаемые коллеги, спасибо за интересную дискуссию. Действительно, закон важный. Единственно, я хочу поддержать Дмитрия Владиславовича, развеять тревоги коллег по поводу правоприменительной практики этого закона. Ещё раз обращаю ваше внимание и подтверждаю: серьёзных дополнительных расходов для юридических лиц принятие закона не повлечёт. На большинстве объектов, которые относятся к высокой категории значимости, уже стоит подобного рода программное обеспечение, есть определённое технологическое решение. Повторяю, те, кто войдёт в этот список, не понесут значительных дополнительных расходов.

Крайне важно также подчеркнуть, что граждан, рядовых пользователей вступление этого закона в силу никаким образом не коснётся, наоборот, оно даст, скажем так, дополнительные преимущества в плане повышения уровня защищённости передаваемой информации по каналам связи, в плане защиты от несанкционированного доступа к информации в кредитно-финансовой сфере, в сфере здравоохранения и так далее.

Сегодня высказывали беспокойство по вопросу ответственности юридических лиц, организаций, которые ставят себе подобное программное обеспечение, говорилось об уголовной ответственности. Так вот, коллеги, хочу ещё раз разъяснить: уголовная ответственность касается тех, кто атакует, кто пытается добыть охраняемую информацию у тех организаций, которые попадают в этот список, а не тех, кто является собственником объектов критической информационной инфраструктуры. Это важный момент, я хотел бы обратить на него внимание.

Сегодня также поднимался вопрос о достаточно частом использовании западного оборудования, Дмитрий Владиславович тоже об этом говорил. Я хотел бы ещё раз подчеркнуть: когда не хватает квалифицированного отечественного оборудования и используются отдельные западные элементы, они обязательно сертифицируются соответствующими структурами, и это уже говорит о том, что их использование достаточно безопасно.

https://sozd.duma.gov.ru/bill/47579-7

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправка комментария