31.8.17

Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?

28 августа Аркадий Дворкович подписал план-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», утвержденным Заместителем Председателя Правительства Российской Федерации (№ 5985п-П10). А спустя всего пару дней был опубликован проект первого из пакета документов, который определяет регулятора в области безопасности КИИ, которым предсказуемо стала ФСТЭК.

Часть коллег в Фейсбуке высказала предположение, что это еще не финальное решение и возможно текст будет изменен. Возможно. Но я все-таки предполагаю, что это уже финальное решение и тому есть несколько причин. Во-первых, если бы регулятором могла стать ФСБ, то это было бы проще сделать еще на этапе подготовки законопроекта - автором же его являлась именно ФСБ. Если они тогда этого не сделали, то, возможно, они просто не хотят быть таким регулятором (им и темы ГосСОПКИ достаточно). Версия, что это может быть Минкомсвязь (все-таки мы говорим не обо всех критических инфраструктурах, а только об информационных) также существует, но в этом ведомстве просто некому заниматься этой темой и опыта у них нет. Остается только ФСТЭК, которая и безопасностью занимается, и к информационным системам имеет прямое отношение, и ключевыми системами информационной инфраструктуры (КСИИ) занималась. То есть сходятся все ключевые факторы, которые могли бы определить регулятора. Да и проект Указа Президента готовила именно ФСТЭК.

До 13-го сентября будет идти процедура общественного обсуждения, за которой последует ряд дополнительных процедур, включая согласование между ФОИВами, а затем принятие нормативно-правового акта. Произойти это должно до конца октября (вдвое оперативнее, чем это предполагалось изначально). С этого момента начнется активная работа по разработке подзаконных актов в области контроля и надзора, обеспечения безопасности значимых объектов КИИ, а также регламентация процесса ведения реестра значимых объектов КИИ. 

Самым интересным в этой тройке является разработка требований по защите. Если исходить из версии, что регулятором будет ФСТЭК, то на мой взгляд развитие событий пойдет следующим путем:
  • Приказ №31 от 2014-го года (и, возможно, от 2017-го года тоже) получит долгожданную легитимизацию и будет официально распространяться на АСУ ТП. При этом, возможно, в него внесут изменения для распространения его положений на все 13 отраслей, упомянутых в ФЗ о БКИИ, а не только на те, которые описаны в 31-м приказе.
  • Появится еще один приказ, ориентированный на отрасли, в которых нет АСУ ТП, - наука, финансовые организации, здравоохранение и т.п. Вновь предположу, что этот приказ не станет чем-то новым для специалистов и будет похож на 21-й приказ ФСТЭК. По крайней мере все последние документы ФСТЭК с перечислением мер защиты похожи друг на друга как браться-близнецы. Поэтому и новый приказ будет наследовать уже ставшие привычными за последние 4 года требования по защите информации.
Учитывая, что список требований по защите уже отработан в 17/21/31-м приказах, то врядли процесс выпуска нового приказа сильно затянется.

Я вообще бы разработал уже унифицированный набор защитных мер и утвердил его приказом, просто ссылаясь на него по мере необходимости (по аналогии с ГОСТом ЦБ и ссылками на него из положений Банка России). Ведт ФСТЭК еще предстоит готовить документ по станкам с ЧПУ, а потом, может быть, еще что-то потребуется. Поэтому проще было иметь один единственный набор, к которму можно было бы обращаться по мере необходимости и не писать новые требования.

Немного особняком стоят:
  • Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203
  • постановление Правительства Российской Федерации, содержащее сведения, составляющие государственную тайну,
в которые должны быть внесены изменения, так как согласно принятому законодательству сведения о мерах защиты объектов КИИ относятся к государственной тайне. Но и с ними ФСТЭК не должна затягивать.

Что в итоге? В начале 2018-го года мы должны иметь необходимые нормативно-правовые акты, вызывающие наибольшее количество вопросов (наряду с постановлением Правительства с показателями значений категорирования объектов КИИ). Осталось ждать не так уж и много...

ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.

10 коммент.:

Serj комментирует...

Алексей, а где можно увидеть план-график (№ 5985п-П10)?

Serj комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Увы, нигде. Этот документ не публиковался и не будет. Да и зачем он? Все равно скоро все упомянутые в нем документы опубликуют

Ryi комментирует...

Где можно прочитать про статью УК за несоблюдение ? Что то не нашёл поиском.

Алексей Лукацкий комментирует...

ст.274.1 вступает в силу я 1-го января 2018-го года

Unknown комментирует...

Алексей, есть ли вероятность, что в сам закон будут внесены поправки включающие "недостающие" сферы деятельности субъектов КИИ?

Алексей Лукацкий комментирует...

Нет, вероятности такой нет в ближайшие год-два

Unknown комментирует...

Алексей, уже в комментариях поднималась тема про "подтягивание" отсутствующей в законе сферы водоснабжения через водопровод, якобы водопровод является частью системы водоснабжения без которой он функционировать не может и т.к. водопровод относится к транспортной сфере, а она есть в законе, значит и водоснабжение опосредовательно подпадает под закон. Данная мысль все чаще мелькает как у лицензиатов, позиция регулятора пока не ясна, они ждут утверждения себя в качестве регулятора и отмалчиваются, неужели так и будет и придется доказывать что ты не верблюд или стоит перестраховаться?

Алексей Лукацкий комментирует...

Да, верно. Все время забываю, что трубопроводы - это тоже транспорт. Есть такая вероятность

Unknown комментирует...

Ок, но трубопровод разве равно водопроводу?

Трубопроводы у нас ресурсы гоняют. :)