История с законопроектом по изменению 152-ФЗ https://valerykomarov.blogspot.com/2022/04/blog-post_26.htmlпродолжается. Сначала прошло 19.05.22 заседание комитета комитета ГД, на котором заслушали представителей общественности и 24.05.22 законопроект был принят ГосДумой в первом чтении.
Заседание Комитета по информационной политике, информационным технологиям и связи очень эмоциональное и характерное.
Как принимался законопроект в первом чтении и какие вопросы к нему возникли у депутатов можно посмотреть здесь
В данной заметке коснемся единственного вопроса, на котором авторы законопроекты сделали акцент - принуждение всех операторов ПДн к непрерывному взаимодействию с ГосСОПКА, которое не потребует затрат бюджета. И обсуждение мы построим на аргументах авторов законопроекта, озвученных на заседании Комитета - https://youtu.be/UuPuUPBCRZs?t=696
О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8#bh_histras
«12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.»
Порядка ФСБ по непрерывному взаимодействию операторов ПДн с ГосСОПКА не существует, он только будет разработан. Отдельно замечу, что это именно приказ ФСБ должен быть, а не документ от НКЦКИ.
Более того, для субъектов КИИ такого документа тоже не существует. Есть Приказ ФСБ России от 24 июля 2018 г. № 367, но он ИСКЛЮЧИТЕЛЬНО про представление информации в ГосСОПКА, но не про взаимодействие.
Есть регламент взаимодействия ФСБ с субъектом КИИ при осуществлении информационного обмена, опять же область взаимодействия ограничена.
В законопроекте прямо указано, что «информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных» это ЧАСТЬ процесса взаимодействия. То есть, область требований намного шире.
Далее, обязанность непрерывного взаимодействия с ГосСОПКА возложена законом на субъект КИИ только в отношении ЗНАЧИМЫХ объектов КИИ, а не всех.
Этот процесс обеспечивается субъектом КИИ при выполнении 235 и 239 приказа ФСТЭК, путем создания системы безопасности ЗОКИИ. То есть, организация выделяет отдельные силы и средства безопасности ЗОКИИ. И это совсем не бесплатно.
Для незначимых объектов КИИ никакого требования о взаимодействии с ГосСОПКА в законодательства нет. Они только информируют НКЦКИ о компьютерных инцидентах в течении 24 часов. Да, сейчас допускается вариант через почту/телефон. Но это резервный вариант, а не основной. И подключение к технической инфраструктуре НКЦКИ уже требует затрат.
И не забывайте, что текущая ситуация базируется всего на одной строке в приказе ФСБ
«В случае отсутствия подключения к технической инфраструктуре НКЦКИ информация направляется посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru».
Достаточно убрать эту строку и вопрос стоимости заиграет новыми красками. Приказ изменить намного проще, чем ФЗ. А мы узнаем по факту. К тому же мы не знаем какой порядок взаимодействия будет прописан для операторов ПДн в итоге. Его еще нет. Сейчас нам могут обещать одно, а через месяц изменится ситуация и выйдет совсем по другому.
Информационное взаимодействие субъектов КИИ с НКЦКИ выглядит так
Авторы законопроекта дали справку
«Принятие Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» не потребует признания утратившими силу, приостановления, изменения или принятия иных актов федерального законодательства.»
Необходимо вносить изменения в ст. 5 187-ФЗ «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», поскольку силы оператора ПДн сейчас не относятся к силам ГосСОПКА.
Непонятно как применять операторам ПДн определение «компьютерный инцидент», заданное в ст.2 187-ФЗ, поскольку компьютерный инцидент может быть исключительно на объекте КИИ или с информацией, обрабатываемой исключительно объектом КИИ. А для операторов ПДн характерен инцидент ИБ, а не КИ. Или просто инцидент по 21 приказу ФСТЭК. При этом, даже ГОСТ по мониторинг ИБ указывает, что он не применяется для процессов с КИ. https://valerykomarov.blogspot.com/2022/04/blog-post.html
Определение «компьютерная атака» опять же задана через объект КИИ.
Необходимо вносить изменения в Приказ ФСБ №366, поскольку сейчас задачи НКЦКИ ограничены только субъектами КИИ. С иными организациями только обмен информацией о компьютерных инцидентах. Необходимо вносить изменения в Приказ ФСТЭК №21 по аналогии с приказом ФСТЭК № 239.
Непонятно почему вообще не используется опыт, накопленный по реализации 187-ФЗ.
1.Он негативный, даже по докладам регуляторов.
2.О том, что реализация требований 187-ФЗ не потребует никаких затрат у субъектов КИИ и вообще все уже реализовано – заявлялось в ГД еще в 2017 году https://zen.yandex.ru/video/watch/603f60041b252e28ff4fde11. И речь идет о десятках тысяч организаций страны, а теперь про ВСЕ (десятки миллионов). Как можно на основе опыта взаимодействия НКЦКИ с 3 000 организациями делать вывод об отсутствии проблем с взаимодействием у 7 000 000 организаций? Это ведь на ТРИ порядка больше цифра. В 2 500 раз больше!
3. Обобщен ли опыт НКЦКИ по взаимодействию с субъектами КИИ в отношении ИСПДн, которые отнесены к ОКИИ? Или все скопом и не важно в отношении какого типа ОКИИ (ИС/АСУ/ИТКС)?
И самый главный вопрос к авторам законопроекта. Есть разница между оператором ПДн и оператором ИСПДн? Ведь 152-ФЗ устанавливает требования для оператора ПДн, который может осуществлять как автоматизированную обработку ПДн в ИСПДн, так и не автоматизированную. Какое отношение имеет НКЦКИ к неавтоматизированной обработке ПДн? Компьютерная атака на шкаф с личными делами работников в отделе кадров?
Ведь есть Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и формулировке о ГосСОПКА самое место в ПП, а не ФЗ.
Лучше, если сначала только для УЗ1. Просто добавить в пункт 16 подпункт «в» про взаимодействие с ГосСОПКА.
Потом, по мере накопления совершенствования базы, распространить на УЗ2.
А УЗ4 и УЗ3 не трогать вообще.
Теперь про готовность без дополнительного финансирования обеспечить взаимодействие с ГосСОПКА всех операторов ПДн.
Да, уже действует норма закона про «принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них», но эта норма только про ИСПДн и только про компьютерные инциденты, то есть норма более узкая, чем предлагаемая. И она ничем не подкреплена для исполнения. Рассмотрим это подробнее
Для взаимодействия нужен исполнитель, ответственный за обеспечение безопасности ПДн при обработке в ИСПДн. Он в обязательном порядке появляется в организации только для УЗ3 по ПП1119. То есть, если в организации только ИСПДн с УЗ4, то необходимо нанимать обученного специалиста. Нужны деньги.
Далее, требования по выявлению инцидентов в ИСПДн появляются только с УЗ2 (21 приказ ФСТЭК XIV. Выявление инцидентов и реагирование на них (ИНЦ)). То есть, если в организации ИСПДн с УЗ4 и УЗ3, то никто никакого процесса выявления инцидентов не строил. Нужны деньги.
Может у всех операторов уже должны быть средства обнаружения компьютерных атак или в терминологии ФСТЭК – средств обнаружения вторжения? Нет, VII. Обнаружение вторжений (СОВ) только для УЗ2 И УЗ1.
Таким образом, мы видим, что для наиболее массового сегмента ИСПДн с низкими уровнями защиты ПДн не обеспечено заранее выполнение норм законопроекта. Нет ни персонала, ни технических средств. Они просто не узнают о том, что по ним проводится компьютерная атака или у них компьютерный инцидент. Они не смогут реализовать информацию, полученную от НКЦКИ.
И это мы смотрели на ситуацию в «тепличных» условиях, при вводной – все организации в стране выполняют требования 152-ФЗ в полном объеме. Реальность несколько другая, совсем другая.
Другой момент, ведь процесс взаимодействия подразумевает взаимное участие сторон. Не только оператор ПДн, но и НКЦКИ должен быть готова к обработке такого массива информации. Вот просто заключить 7 000 000 соглашений с организациями о взаимодействии, это как масштаб задачи? Это наращивание технической инфраструктуры НКЦКИ, это набор персонала НКЦКИ. Иначе сроки обработки информации о КИ от операторов ПДн будут очень грустными.
И непонятно зачем вообще тогда требовать «непрерывного» взаимодействия от операторов ПДн.
Еще момент. Раз уж у нас так любят на опыт с КИИ ссылаться.
Почему никто не учитывает такой момент – огромный массив исходной информации об ОКИИ поступает в НКЦКИ не от субъекта КИИ, а от ФСТЭК. То есть, в НКЦКИ еще до инцидента есть вся информация об ОКИИ (состав ПО, ПАК, место размещения и т.д.). Субъект КИИ только сообщает о параметрах инцидента, остальная информация для анализа уже есть в НКЦКИ.
А по ИСПДн страны откуда эта информация в НКЦКИ возьмется (их десятки миллионов)? Каким образом НКЦКИ будет осуществлять целевое информирование операторов ПДн об угрозах? По субъектам КИИ у них есть хотя бы теоретическая возможность провести селекцию по информации от ФСТЭК, а здесь как?
Итог:
1.Текущую формулировку о непрерывном взаимодействии необходимо заменить на «направление информации операторами ПДн, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Конкретизировать что только в отношении ИСПДн.
2.Работу с НКЦКИ прописывать в ПП1119, с учетом уровней значимости.
3.Спланировать изменение всей нормативной базы по защите ПДн, синхронизировать эти изменения. Гармонизировать подзаконные акты по защите ПДн.
4.Внедрение требований проводить поэтапно, с корректировкой согласно полученного опыта.
5.Предусмотреть финансирование и субсидирование операторов ПДн и ФСБ.
6.Внести изменения в программы повышения квалификации для специалистов, обеспечивающих защиту ИСПДн. Ввести отдельный модуль обучения взаимодействию с НКЦКИ.
Вывод: выстраивание реального реагирования на компьютерные инциденты и компьютерные атаки в организации - это долгосрочный и затратный процесс. Он требует серьезного подготовки и обеспеченности всеми видами ресурсов - финансовыми, кадровыми, законодательными, методическими и т.д.
Комментариев нет:
Отправить комментарий