Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

187-ФЗ. Осторожно: это может быть опасно для вашей психики!

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(10)
()
Опубликовано в:

С грустью наблюдаю, как страна постепенно сходит с ума. Как ещё иначе можно трактовать процесс, который происходит вокруг 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»? Огромное количество специалистов пытаются разобраться в хитросплетениях этого очередного чудо-закона. Удивительного в нём много. Например, то, что он прошёл антикоррупционную экспертизу, при том, что многие специалисты строят алгоритмы его выполнения и эти алгоритмы у всех разные. А ещё многие хотят понять его смысл, но это напоминает то, от чего предостерегали мудрые древние китайцы – поиск чёрной кошки в тёмной комнате, когда её там нет.

А в законе этом нет многого. Например:

- нет названия органа власти, которому предоставлено право толкования закона;

- нет водоснабжения и сельского хозяйства среди сфер деятельности;

- нет конкретных сроков начала деятельности по его реализации;

- нет логики;

- нет здравого смысла.

То, что в законе нет логики и здравого смысла, не удивительно: их нет уже давно. Но почему нет самого очевидного? Зачем это сделано? То, что это сделано сознательно, лично у меня нет сомнений: нет оснований не верить «приближённым к законодателю», что в исходном варианте закона название органа власти, которому предоставлено право толкования закона, было.

И про сферы деятельности – зачем? Или всё-таки – почему? Про сельское хозяйство не знаю, но вода - !!! Во всем цивилизованном мире водоснабжение и водоотведение отнесено к КИИ, у нас – нет. Почему?

Это не может быть случайностью!

До чего только не договорились некоторые «специалисты», разгадывая этот «ребус». Одни утверждают, что водоснабжение – это транспорт, другие – здравоохранение, третьи – химическая промышленность, четвёртые – связь. Некоторые предлагают «плясать» от ОКВЭД. Но код ОКВЕД определяет, к какому направлению деятельности принадлежит предприятие, а в 187-ФЗ говорится о том, что к субъектам КИИ относятся юр. лица и ИП, которым «принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере».

Не «предприятиям, функционирующим в сфере», а «ИС, ИТКС, АСУ, функционирующие в сфере»!

ОКВЭД здесь вообще не при чём!

А классификации сфер деятельности ИС, ИТКС, АСУ не существует!

Во всяком случае регуляторы до этого пока ещё не додумались. А если «додумаются», то за диагнозом идти к врачу уже не будет необходимости.

Вопрос на засыпку: в какой сфере функционирует:

ИСПДн АЭС/ИСПДн химзавода/ИСПДн госуниверситета/ИСПДн медакадемии?

АСУ ТЭЦ / АСУ металлургического завода / АСУ водоканала?

И так далее и тому подобное.

ИС, ИТКС, АСУ не функционируют в «сферах»! Они функционируют в организациях/учреждениях и на предприятиях!

Это – элементарная логика, господа!

 

Очень давно я где-то прочитал, что чтобы понять произведение, написанное шизофреником, нужно самому на некоторое время стать шизофреником. Главное – после прочтения вернуться в исходное состояние. Удаётся не всем. Некоторые «залипают» и временное психическое отклонение превращается в постоянное состояние. Девиация превращается в диагноз.

 

Если закон приходится разгадывать, как ребус, – это не закон! Это – ребус!

 

Не доходите до крайности: не пытайтесь найти чёрную кошку в тёмной комнате, когда её там нет. Даже если она там есть, нам её всё равно не найти. А если уж совсем не в терпёж, делайте это грамотно, по науке, и не вводите в заблуждение всю страну своими домыслами. Ещё лучше – обратитесь к законодателю с просьбой опубликовать ответы.

Источник: https://gatamanov.blogspot.com/

Оцените материал:
Total votes: 214
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ржавский Константин

Геннадий Альбертович, вся беда, как мне кажется, заключается в том, что выпуская этот и иже с ним НПА, а также предыдущие и последующие ФЗ и НПА нарушатся основной принцип системного подхода! Ведь по сути, в отношении методов и принципов ЗИ ничего нового, меняются только значения параметров, описывающих систему ЗИ и ВСЕ! Ничего кардинально нового в этих НПА нет!

Какой смысл плодить количество и подменять им качество.

Защищаемый ОИ, ИСПДн, объект-субъект КИИ, АСЗИ, и др. (а по сути одно и тоже) - для специалиста меняются значения отдельных параметров, описывающих объект защиты и все!

Какая разница, есть там вода и иже или с/х, или муниципалитеты – это всего лишь значения параметров, ну добавят их и что?

Парадокс, на мой взгляд, заключается в следующем, такое впечатление, что люди которые плодят эти документы никогда не работали, что называется «по живому», но ведь это не так, куча практиков! Тогда возникает вопрос: Для чего? …….. Ну то такое.

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Константин Васильевич, что касается методов и принципов, согласен! Это – инварианты. Они не меняются. Но каждая ИС (при всей их похожести) уникальна, поэтому меры и средства тоже должны быть уникальными. И определяет эту уникальность объект защиты. Правильная идентификация объекта защиты – половина дела по организации его защиты! Объект защиты определяет какие средства и методы необходимо применить для его защиты. И именно объект защиты во всех НПА определён неверно! А в 187-ФЗ в этом плане вообще «чёрт ногу сломит». Даже специалисты не могут понять, кто относится к субъектам КИИ, а что к объектам. Вы только внимательно почитайте статью 2 закона! Ведь это … нечто.

up
6 users have voted.
Аватар пользователя Ржавский Константин

А что Вы относите к уникальным средствам защиты? Или я что то пропустил? А меры защиты тоже появились такие, о каких я не слышал?

up
7 users have voted.
Аватар пользователя Ангелина Белозёрова

Геннадий Альбертович!

Вы упомянули об отсутствии в законе таких сфер деятельности, как  водоснабжение, сельское хозяйство, а как же муниципальные органы власти?!  (Вы ведь долгое время проработали в этой системе.) А вдруг завтра что-нибудь новое появится?

А вообще, согласитесь, вся эта история с  данным НПА, как стих, который уже где-то слышал!

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

Про воду и с/х это я так, к слову. Если начать перечислять все сферы деятельности, в которой могут быть КИИ, получится довольно большой список. И всегда неполный. Я вообще считаю, что отталкиваться нужно не от сферы деятельности предприятия (и уж тем более не от сферы, в которой функционирует ИС), а от значения этой самой ИС и возможных негативных последствий в случае деструктивного воздействия на неё. С моей точки зрения, абсолютно неважно, в какой сфере функционирует предприятие, важно, какой ущерб будет нанесен: 1) экологии; 2) экономике; 3) социуму, - в случае некорректного воздействия на её ИС/ИТКС/АСУТП.

up
9 users have voted.
Аватар пользователя Атаманов Геннадий

Всё-таки решил уточнить про воду и с/х. Воздух, вода и пища по АГАСОФИИ безопасности – три самых главных компонента жизнеобеспечения. Воздух и вода – это экологическая безопасность, а пища – продовольственная.

Элеватор в какой сфере функционирует? По-моему, в сфере с/х. Если выйдет из стоя АСУТП элеватора, то он может: а) самовозгореться; б) взорваться. При этом ещё будет уничтожен довольно большой запас зерна. Все вместе может привести к серьёзным негативным последствиям. А если выйдет из строя какая-нибудь ИС какого-нибудь (тем более муниципального) органа власти, никто, кроме сотрудников этого органа, этого даже не заметит. Особенно, если ИС классифицировать по конституированному определению.

Если же читать 187-ФЗ как положено, то никакие органы власти под действие этого закона не подпадают: все ИС органов власти функционируют в социальной сфере, а эта «сфера» в законе не упоминается.

up
10 users have voted.
Аватар пользователя Ржавский Константин

Для построения систем защиты, в отношении средств и мер ЗИ, скорее подойдут термины: унификация, модульность, профиль, сертификат ФСТЭК, а не уникальность. Вот вариации на тему .... тут можно поразмыслить. Я к чему, появление множества типовых НПА ведет к размыванию тезауруса и появлению статей подобных ст.2.

Как мы раньше жили с только с двумя руководящими книгами (+ по мелочи методички), ума не приложу!
 

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

Константин Васильевич, в отношении средств и мер защиты Вы абсолютно правы!

Термин «уникальная» я применяю только к ИС и, соответственно, к системе защиты информационных ресурсов, циркулирующих в этих ИС (длинно, но правильно). Нет двух совершенно одинаковых (тождественных) ИС. Они всегда чем-нибудь отличаются (СВТ, ПО, настройки) и СЗИР, соответственно, тоже должны чем-то отличаться (хотя бы настойками).

И про РД Вы опять правы! Руководящих документов и должно быть 1-2 и рамочных, а методичек – на все случаи жизни. У нас же сейчас всё «с точностью до наоборот». И результат соответствующий.

up
10 users have voted.
Аватар пользователя Анна Христолюбова

Геннадий Альбертович, хочу выразить Вам благодарность, что все, что так накипело у специалистов, Вы формулируете исключительно точно и смело. И от этого легче))
Почитав НМД, сотворенную в области КИИ (по долгу службы пришлось ее пересчитать - 34 акта), пришла к выводу, что процессный подход - наше все при выполнении 187-ФЗ. Надо отталкиваться от конкретного производственного процесса, выделять в нем ИС, ИТКС, АСУ, и тогда пытаться относить его к сферам.
Очень был показателен вопрос из зала после моего доклада на одной из конференций с участием ФСТЭК: скажите, а существует такой специалист по информационной безопасности объектов КИИ? Все ищут крайнего)))

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

Спасибо, Анна!

Не часто публично и не анонимно высказывают такие слова в мой адрес. Для меня это очень ценно. Это говорит о том, что то, что я делаю, кому-то нужно и, значит, не бесполезно.

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.