Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог
С грустью наблюдаю, как страна постепенно сходит с ума. Как ещё иначе можно трактовать процесс, который происходит вокруг 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»? Огромное количество специалистов пытаются разобраться в хитросплетениях этого очередного чудо-закона. Удивительного в нём много. Например, то, что он прошёл антикоррупционную экспертизу, при том, что многие специалисты строят алгоритмы его выполнения и эти алгоритмы у всех разные. А ещё многие хотят понять его смысл, но это напоминает то, от чего предостерегали мудрые древние китайцы – поиск чёрной кошки в тёмной комнате, когда её там нет.
А в законе этом нет многого. Например:
- нет названия органа власти, которому предоставлено право толкования закона;
- нет водоснабжения и сельского хозяйства среди сфер деятельности;
- нет конкретных сроков начала деятельности по его реализации;
- нет логики;
- нет здравого смысла.
То, что в законе нет логики и здравого смысла, не удивительно: их нет уже давно. Но почему нет самого очевидного? Зачем это сделано? То, что это сделано сознательно, лично у меня нет сомнений: нет оснований не верить «приближённым к законодателю», что в исходном варианте закона название органа власти, которому предоставлено право толкования закона, было.
И про сферы деятельности – зачем? Или всё-таки – почему? Про сельское хозяйство не знаю, но вода - !!! Во всем цивилизованном мире водоснабжение и водоотведение отнесено к КИИ, у нас – нет. Почему?
Это не может быть случайностью!
До чего только не договорились некоторые «специалисты», разгадывая этот «ребус». Одни утверждают, что водоснабжение – это транспорт, другие – здравоохранение, третьи – химическая промышленность, четвёртые – связь. Некоторые предлагают «плясать» от ОКВЭД. Но код ОКВЕД определяет, к какому направлению деятельности принадлежит предприятие, а в 187-ФЗ говорится о том, что к субъектам КИИ относятся юр. лица и ИП, которым «принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере».
Не «предприятиям, функционирующим в сфере», а «ИС, ИТКС, АСУ, функционирующие в сфере»!
ОКВЭД здесь вообще не при чём!
А классификации сфер деятельности ИС, ИТКС, АСУ не существует!
Во всяком случае регуляторы до этого пока ещё не додумались. А если «додумаются», то за диагнозом идти к врачу уже не будет необходимости.
Вопрос на засыпку: в какой сфере функционирует:
ИСПДн АЭС/ИСПДн химзавода/ИСПДн госуниверситета/ИСПДн медакадемии?
АСУ ТЭЦ / АСУ металлургического завода / АСУ водоканала?
И так далее и тому подобное.
ИС, ИТКС, АСУ не функционируют в «сферах»! Они функционируют в организациях/учреждениях и на предприятиях!
Это – элементарная логика, господа!
Очень давно я где-то прочитал, что чтобы понять произведение, написанное шизофреником, нужно самому на некоторое время стать шизофреником. Главное – после прочтения вернуться в исходное состояние. Удаётся не всем. Некоторые «залипают» и временное психическое отклонение превращается в постоянное состояние. Девиация превращается в диагноз.
Если закон приходится разгадывать, как ребус, – это не закон! Это – ребус!
Не доходите до крайности: не пытайтесь найти чёрную кошку в тёмной комнате, когда её там нет. Даже если она там есть, нам её всё равно не найти. А если уж совсем не в терпёж, делайте это грамотно, по науке, и не вводите в заблуждение всю страну своими домыслами. Ещё лучше – обратитесь к законодателю с просьбой опубликовать ответы.
Источник: https://gatamanov.blogspot.com/
Комментарии на сайте
Геннадий Альбертович, вся беда, как мне кажется, заключается в том, что выпуская этот и иже с ним НПА, а также предыдущие и последующие ФЗ и НПА нарушатся основной принцип системного подхода! Ведь по сути, в отношении методов и принципов ЗИ ничего нового, меняются только значения параметров, описывающих систему ЗИ и ВСЕ! Ничего кардинально нового в этих НПА нет!
Какой смысл плодить количество и подменять им качество.
Защищаемый ОИ, ИСПДн, объект-субъект КИИ, АСЗИ, и др. (а по сути одно и тоже) - для специалиста меняются значения отдельных параметров, описывающих объект защиты и все!
Какая разница, есть там вода и иже или с/х, или муниципалитеты – это всего лишь значения параметров, ну добавят их и что?
Парадокс, на мой взгляд, заключается в следующем, такое впечатление, что люди которые плодят эти документы никогда не работали, что называется «по живому», но ведь это не так, куча практиков! Тогда возникает вопрос: Для чего? …….. Ну то такое.
Константин Васильевич, что касается методов и принципов, согласен! Это – инварианты. Они не меняются. Но каждая ИС (при всей их похожести) уникальна, поэтому меры и средства тоже должны быть уникальными. И определяет эту уникальность объект защиты. Правильная идентификация объекта защиты – половина дела по организации его защиты! Объект защиты определяет какие средства и методы необходимо применить для его защиты. И именно объект защиты во всех НПА определён неверно! А в 187-ФЗ в этом плане вообще «чёрт ногу сломит». Даже специалисты не могут понять, кто относится к субъектам КИИ, а что к объектам. Вы только внимательно почитайте статью 2 закона! Ведь это … нечто.
А что Вы относите к уникальным средствам защиты? Или я что то пропустил? А меры защиты тоже появились такие, о каких я не слышал?
Геннадий Альбертович!
Вы упомянули об отсутствии в законе таких сфер деятельности, как водоснабжение, сельское хозяйство, а как же муниципальные органы власти?! (Вы ведь долгое время проработали в этой системе.) А вдруг завтра что-нибудь новое появится?
А вообще, согласитесь, вся эта история с данным НПА, как стих, который уже где-то слышал!
Про воду и с/х это я так, к слову. Если начать перечислять все сферы деятельности, в которой могут быть КИИ, получится довольно большой список. И всегда неполный. Я вообще считаю, что отталкиваться нужно не от сферы деятельности предприятия (и уж тем более не от сферы, в которой функционирует ИС), а от значения этой самой ИС и возможных негативных последствий в случае деструктивного воздействия на неё. С моей точки зрения, абсолютно неважно, в какой сфере функционирует предприятие, важно, какой ущерб будет нанесен: 1) экологии; 2) экономике; 3) социуму, - в случае некорректного воздействия на её ИС/ИТКС/АСУТП.
Всё-таки решил уточнить про воду и с/х. Воздух, вода и пища по АГАСОФИИ безопасности – три самых главных компонента жизнеобеспечения. Воздух и вода – это экологическая безопасность, а пища – продовольственная.
Элеватор в какой сфере функционирует? По-моему, в сфере с/х. Если выйдет из стоя АСУТП элеватора, то он может: а) самовозгореться; б) взорваться. При этом ещё будет уничтожен довольно большой запас зерна. Все вместе может привести к серьёзным негативным последствиям. А если выйдет из строя какая-нибудь ИС какого-нибудь (тем более муниципального) органа власти, никто, кроме сотрудников этого органа, этого даже не заметит. Особенно, если ИС классифицировать по конституированному определению.
Если же читать 187-ФЗ как положено, то никакие органы власти под действие этого закона не подпадают: все ИС органов власти функционируют в социальной сфере, а эта «сфера» в законе не упоминается.
Для построения систем защиты, в отношении средств и мер ЗИ, скорее подойдут термины: унификация, модульность, профиль, сертификат ФСТЭК, а не уникальность. Вот вариации на тему .... тут можно поразмыслить. Я к чему, появление множества типовых НПА ведет к размыванию тезауруса и появлению статей подобных ст.2.
Как мы раньше жили с только с двумя руководящими книгами (+ по мелочи методички), ума не приложу!
Константин Васильевич, в отношении средств и мер защиты Вы абсолютно правы!
Термин «уникальная» я применяю только к ИС и, соответственно, к системе защиты информационных ресурсов, циркулирующих в этих ИС (длинно, но правильно). Нет двух совершенно одинаковых (тождественных) ИС. Они всегда чем-нибудь отличаются (СВТ, ПО, настройки) и СЗИР, соответственно, тоже должны чем-то отличаться (хотя бы настойками).
И про РД Вы опять правы! Руководящих документов и должно быть 1-2 и рамочных, а методичек – на все случаи жизни. У нас же сейчас всё «с точностью до наоборот». И результат соответствующий.
Геннадий Альбертович, хочу выразить Вам благодарность, что все, что так накипело у специалистов, Вы формулируете исключительно точно и смело. И от этого легче))
Почитав НМД, сотворенную в области КИИ (по долгу службы пришлось ее пересчитать - 34 акта), пришла к выводу, что процессный подход - наше все при выполнении 187-ФЗ. Надо отталкиваться от конкретного производственного процесса, выделять в нем ИС, ИТКС, АСУ, и тогда пытаться относить его к сферам.
Очень был показателен вопрос из зала после моего доклада на одной из конференций с участием ФСТЭК: скажите, а существует такой специалист по информационной безопасности объектов КИИ? Все ищут крайнего)))
Спасибо, Анна!
Не часто публично и не анонимно высказывают такие слова в мой адрес. Для меня это очень ценно. Это говорит о том, что то, что я делаю, кому-то нужно и, значит, не бесполезно.