среда, 5 января 2022 г.

187-ФЗ. Итоги за четыре года.

 


  Закон о безопасности КИИ действует четыре полных года.  Прошло два года с последнего детального разбора результатов, достигнутых страной - https://valerykomarov.blogspot.com/2020/01/187.html и https://valerykomarov.blogspot.com/2020/01/187_10.html.

   Посмотрим что изменилось за эти два года с важнейшими видами обеспечения законодательного механизма:

1. Единоначалие (единый координирующих центр (организатор) в стране)

  1.1 Ситуация ухудшилась. Через Постановление Правительства Российской Федерации от 24.12.2021 № 2431 "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" произошло делегирование полномочий ФСТЭК по обеспечению своевременности и достоверности результатов категорирования объектов КИИ на неопределенные органы власти. В НПА не заложен механизм разграничения зон ответственности, контроля за выполнением, не предусмотрено финансирование и т.д. 

  1.2 Произошло смешивание функций ФСБ и ФСТЭК по предупреждению компьютерных атак. На сайте ФСТЭК публикуются проекты ГОСТ по реагированию на компьютерные атаки и компьютерные инциденты, в части объектов КИИ стала напрямую отвечать за планирование готовности к реагированию на целевые компьютерные атаки.

  1.3 ФСТЭК начала постепенную передачу из Центрального аппарата в территориальные управления полномочий и задач. Судя по реакции на тематических каналах по КИИ, "правила игры" также не определены. 

  1.4. Уголовные дела по ст.274.1 УК РФ начали возбуждать не только в ФСБ, но и в МВД.

2. Законодательное обеспечение

  2.1 Полный провал с законодательной инициативой по обеспечению экономической безопасности КИИ (импортозамещение).Пришлось Минцифре публично просить Президента России сдвинуть сроки поручения по выпуску НПА на 2022 год. Два года потеряны на попытки провести Указ +ПП, вернулись в началу - выпуск отдельного ФЗ. 

   Интрига сохраняется по двум моментам:

- это будет еще один ФЗ к пакету 2017 года (187-ФЗ, 193-ФЗ, 194-ФЗ) или ФЗ по внесению изменений в 187-ФЗ?

- сроки перехода, озвученные ранее - 1 января 2023 года, остаются или сдвигаются?

  2.2 Полный провал с законодательной инициативой по уточнению ст.274.1 УК РФ, внесенных Минэкономразвития. А правоприменительная практика очень наглядная за 2020-2021 гг.




   Отдельную уголовную ответственность по КИИ вводили в УК РФ как меру борьбы с хакерами, угрожающими безопасности страны. А на практике имеем меньше 10% приговоров за организацию компьютерных атак на ОКИИ (3 приговора из 33). К единой трактовке "вред КИИ" суды так и не пришли, чаще всего репутационный ущерб для субъекта КИИ фигурирует. Собственно, неопределенность с "вред КИИ" уже привела к оправдательному приговору, когда сторона обвинения не смогло доказать судье факта наступления вреда от действий обвиняемого. И обжалование прокуратуры в вышестоящем суде не помогло. 

   Из 33 приговоров 25 вынесены в отношении работников субъектов КИИ. Одни и те же преступные действия квалифицируются следствием по разным составам преступления (неправомерный доступ или нарушение правил эксплуатации), под ВПО экспертизы подводят любое свободно распространяемое ПО, "использование служебного положения" как лотерея - то есть, то нет.

   Наказание штрафами и условными сроками по "тяжелой" статье УК РФ. Даже за доказанные многочисленные компьютерные атаки, с нанесением ущерба на 4 миллиона, наказывают условно! 

   А впереди нас ждут сотни приговоров по работникам субъектов КИИ, которые совершили компьютерные преступления с нанесением вреда КИИ  путем "липовой" вакцинации граждан. 

  2.3 Ввели административную ответственность за правонарушения в области обеспечения безопасности КИИ. Штрафы больше чем за нарушение в области защиты гостайны.

  2.4 Не решен вопрос с использованием СКЗИ для обеспечения безопасности ОКИИ. Этот вопрос вообще упущен в законодательстве и даже проектов НПА по урегулированию не опубликовано. Более того, в 187-ФЗ не определен орган власти, который может такие НПА выпустить. 

  2.5 Процедуры создания и аккредитации центров ГосСОПКА остаются не урегулированными законодательно.

3. Методическое обеспечение

 3.1 Выпущен НПА от ФСТЭК по оценке угроз. Но БДУ ФСТЭК не изменена.

 3.2. НКЦКИ выпустила методические рекомендации по выполнению 282 приказа ФСБ (составления Планов реагирования).

 3.3 ФСТЭК не смогла выпустить анонсированных 4 методических документа для субъектов КИИ (3 документа по применению показателей значимости и 1 по организации работы комиссии). Для субъектов КИИ это скорее положительный момент, чем негативный.

 3.4 Минздрав утвердил рекомендации по категорированию ОКИИ в сфере здравоохранения. Фактически мы имеем за 4 года только 2 отраслевые методики из 13 сфер КИИ. (ТЭК и здравоохранение).

4. Подготовленные исполнители (кадры)

  Год действуют требования к квалификации специалистов по безопасности ЗОКИИ из 235 приказа ФСТЭК. Учебных курсов на рынке представлено достаточно. Пользы мало. Ситуация не изменилась. 

5. Финансовое обеспечение

   Ухудшилось. От продолжения финансовой поддержки органам государственной власти субъектов Федерации по реализации требований 187-ФЗ было решено отказаться (изначально планировалось выделить 300 млн руб., в 2020 г выделили 150 млн руб.). Субсидии через Минцифры были прекращены. 

6. Ресурсное обеспечение (техническое)

   Ничего не изменилось. Реестр технических средств ГосСОПКА, рекомендованных НКЦКИ, так и не появился. Тональность докладов ФСТЭК по проблематике разработки/производства отечественных СрЗИ не меняется


7. Мотивация участников

  Про мотивацию можно забыть. Выбран путь через принуждение. Сначала это реализовали через проверки прокуратуры, теперь через принятие 141-ФЗ и крупных штрафов прямым воздействием ФСТЭК/ФСБ.

  Разъяснительная работа регуляторов с субъектами КИИ выродилась. Единственным положительным примером от ФСТЭК были выступления А.В. Кубарева в цикле конференций "Кибербезопасность АСУ ТП критически важных объектов" и Н. Чернова из УФСТЭК по ЮиСКФО. Характерным маркером является низкая активность работников субъектов КИИ на публичных мероприятий, вопросы не задаются. Субъекты КИИ предпочитают обсуждать проблемы не с регуляторами, а между собой на специализированных каналах.

  Постоянное изменение действующей базы НПА и появление все новых проектов НПА, не имеющих прямого отношения к обеспечению безопасности КИИ от компьютерных атак, серьезно демотивирует субъектов КИИ. При этом, вносимые изменения не направлены на решение проблем субъекта КИИ, а только создают дополнительную "бумажную" нагрузку.

  Если посмотреть на последние изменения в порядок категорирования (ПП127), порядок ведения Реестра ЗОКИИ (227 приказ ФСТЭК), порядок реагирования на КА/КИ (приказ 282 ФСБ), то увидим полное отсутствие процедур и механизмов реализации требований. А ведь это НПА низового уровня ОРД, здесь декларацией не обойтись. Зато количество переписки между субъектом КИИ и регуляторами увеличивается в разы.

   Итог: сложившая ситуация с выполнением 187-ФЗ имеет объективные причины и вполне логична. Пример с 152-ФЗ перед глазами. Ничего нового. 


P.S. Парадоксальная картина складывается. Действующая редакция 187-ФЗ явно не удовлетворяет потребности регуляторов: 

- ФСБ смогла создать только НКЦКИ, но не получила центры ГосСОПКА. Применение ст.274.1 УК РФ "подменяет" другие статьи УК РФ. Да и монополия ФСБ на ее применение нарушена МВД.

- ФСТЭК создала новое 8 управление и расширило свой штат, но упирается в юридическую стену, разделяющую 187-ФЗ и ПП127.

- Минцифры/Минпромторг не может реализовать требования по импортозамещению для КИИ.

    То есть, изменения в 187-ФЗ назрели и с верху (регуляторы) и с низу (субъекты КИИ), но ничего не делается. Более того, если в начале 2021 года на конференции в Магнитогорске  Лютиков В.С. (ФСТЭК) озвучивал понимание возможной  необходимости актуализации законодательства по КИИ, то к концу года все вернулось к жесткой позиции - нецелесообразно. Видимо правоприменительной практики по 187-ФЗ еще недостаточно накоплено. 


Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

2 комментария:

  1. «Минздрав утвердил рекомендации по категорированию ОКИИ в сфере здравоохранения. Фактически мы имеем за 4 года только 2 отраслевые методики из 13 сфер КИИ. (ТЭК и здравоохранение).». Вот здесь необходимо отметить, что некоторые отраслевые методики категорирования просто не придаются огласке. Например, есть методика категориования для субъектов КИИ из сферы атомной энергии, существующая с 2020 года. Возможно, есть такие же латентные методики и по другим сферам. Поэтому говорить однозначно о количестве подобных методик, на мой взгляд, неверно.

    «- ФСБ смогла создать только НКЦКИ, но не получила центры ГосСОПКА. Применение ст.274.1 УК РФ "подменяет" другие статьи УК РФ. Да и монополия ФСБ на ее применение нарушена МВД.». Такая исключительная монополия не заявлялась с самого начала. Часть 5 статьи 151 УПК РФ всегда допускала возможность возбуждения уголовного дела по ст. 274.1 УК РФ следователем того органа, который выявил это преступление.

    ОтветитьУдалить
    Ответы
    1. 1. Ведомственных методик очень много выпущено. Официально опубликовано и размещено на официальных сайтах - две.
      2. Именно для монополии и вносились изменения в 151 УПК РФ. Часть 5 действовала всегда.

      Удалить