Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

187-ФЗ: как было бы правильно

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(5)
()
Опубликовано в:

1

Недавно на ФБ на странице «Кибербезопасность АСУ ТП» в комментариях к моему посту «187-ФЗ: споры не утихают» … состоялся такой диалог: 

А. Лукацкий: Геннадий, напишите правильную по вашему мнению методику категорирования, - я обязуюсь ее передать в ЦА всем на радость. Или опять сошлетесь на то, что закон кривой и его надо менять целиком, а потому ничего делать по неверному закону вы не будете?

Я: Я могу написать правильную методику, в т. ч. и категорирования. Но категорирование – частный вопрос и не первый в списке, подлежащих ответу в свете выполнения 187-ФЗ, который, в свою очередь, не просто кривой, а серпантинистый и лабиринтиевый. Закон таким быть не должен. Закон должен быть понятен всем и каждому. А в этом «законе» поди, разберись. Чего термины и определения стоят? Вот с чего начинать надо! Что объект? Кто субъект? Что такое КИИ? Что такое значимый объект КИИ? Как можно категорировать, не зная, что такое объект и какие есть категории? «Значимый объект – объект, которому присвоена категория»?! Это что? Это даже не средневековый идеализм, это – доисторическая схоластика. Проще – позорище! А мне делать ничего и не нужно: не моя кафедра. 187-ФЗ, к счастью, на мою кафедру не распространяется. Это я так, по зову сердца. Мне истина дорога и за державу обидно.

А. Лукацкий: Да, спасибо. Я ждал ровно такого ответа

2

Подумав, я решил воспользоваться обещанием Алексея передать в загадочный ЦА правильную, с моей точки зрения, методику категорирования объектов КИИ (на радость им или на печаль – покажет время и, надеюсь, расскажет А.Лукацкий). Это не означает, что я отказываюсь от своих слов по поводу нынешней версии закона и вышедшего в его развитие постановления правительства. Категорировать объекты по этим документам невозможно по перечисленным в моем ответе А.Лукацкому причинам. Те определения, которые приведены в ст. 2 187-ФЗ, не «лезут ни в какие ворота». Чтобы не удлинять текст, я не буду разбирать все недостатки этих определений, но без некоторых пояснений не обойтись.

1. КИИ – не объекты, как это сказано в 187-ФЗ. Это – совокупность объектов, т.к. по словарному определению инфраструктура – это комплекс взаимосвязанных обслуживающих структур или объектов, составляющих и обеспечивающих основу функционирования системы. Это определение из той же серии – не всегда взаимосвязанных и непонятно кого обслуживающих, обеспечивающих основу – тоже бред, главное здесь то, что инфраструктура – это комплекс (правильнее – совокупность) структур и объектов.

2. Субъектами КИИ не могут быть ни гос. органы (кто бы ещё знал, что это), ни тем более юридические лица (ЮЛ) и индивидуальные предприниматели (ИП). КИИ есть часть инфраструктуры РФ, субъектом которой может быть только Президент РФ, в крайнем случае – Правительство РФ.

3. Объектами КИИ не могут быть информационные системы, информационно-телекоммуникационный сети, автоматизированные системы управления (далее – ИС/ИТКС/АСУ) по многим причинам. Во-первых, это пересекающиеся множества (и ИТКС, и АСУ по НПА тоже ИС). Во-вторых, разносущностные понятия – системы и сети (мало кто сейчас сформулирует в чём состоит между ними различие). В-третьих, ИС по ГОСТ и НПА – абстрактное, алогичное и потому абсолютно неопределимое понятие. В-четвёртых, это несоответствующие по масштабам понятия: ИС предприятия не может быть принята в качестве составного элемента инфраструктуры государства. В основании инфраструктуры должны быть положены объекты, обеспечивающие функционирование системы (см. определение выше). ИС ЮЛ/ИП не обеспечивают функционирование КИИ РФ, они обеспечивает функционирование какого-нибудь подразделения ЮЛ или ИП. В качестве базового элемента КИИ РФ мог бы быть принят, например, «объект информатизации» ЮЛ/ИП, если бы некоторые деятели не приплели к определению этого термина помещения/здания/сооружения, да ещё и их предназначение для ведения конфиденциальных переговоров. С этими уточнениями и дополнениями правильное, в принципе, определение превратилось в ахинею.

Остальные определения в 187-ФЗ – тоже полнейшая ахинея/абсурд (что конкретно из этого, можно уточнить здесь), но я их сейчас разбирать не буду, т.к. они вообще не нужны для построения системы защиты КИИ.

3

Термины и определения, используемые в Концепции безопасности КИИ РФ Атаманова Г.А.

Информационная инфраструктура РФ – совокупность информационно-телекоммуникационных систем (далее – ИТКС), созданных и эксплуатируемых резидентами РФ.

ИТКС – совокупность программно-технических средств обработки, хранения, трансляции информации, программного обеспечения и созданных с их помощью информационных ресурсов.

ИТКС = ПТСОХТИ + ПО + ИР

Резидент – юридическое или физическое лицо, зарегистрированное в определённом государстве и полностью подчиняющееся его национальному законодательству.

Отсюда развёрнутое определение:

Информационная инфраструктура РФ – совокупность программно-технических средств обработки, хранения и трансляции информации, программного обеспечения и информационных ресурсов, созданных и эксплуатируемых резидентами РФ.

Критическая информационная инфраструктура РФ – совокупность ИТКС резидентов РФ, нарушение или прекращение функционирования которых может повлечь причинение вреда населению РФ, инфраструктуре государства, а также его конституционному строю.

Субъект КИИ – Правительство РФ.

Примечание: субъект должен соответствовать объекту. Если объект управления – КИИ РФ, то субъектом у такого объекта должен быть орган власти, полномочия которого распространяются на весь объект. Не может быть такого, чтобы у одного объекта управления – КИИ, было много субъектов. И не может называться субъектом тот, кто управляет крохотным элементом мегаобъекта.

Владелец объекта КИИ – юридическое лицо или индивидуальный предприниматель, владеющий на законном основании объектом КИИ.

Объект КИИ – ИТКС резидента РФ, нарушение или прекращение функционирования которого может повлечь причинение вреда населению РФ, инфраструктуре государства, а также его конституционному строю.

Объекты КИИ РФ делятся (например) на 4 категории:

Объект КИИ 1 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- гибель 50 и более человек, причинение вреда здоровью 500 и более человек;

- причинение существенного вреда экологии региона;

- причинение существенного вреда экономике и обороноспособности государства;

- дестабилизацию социально-политической ситуации в стране;

- выделения на ликвидацию последствий аварии более 0,1% бюджета страны на текущий год.

Объект КИИ 2 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- гибель от 5 до 50 человек, причинение вреда здоровью от 50 до 500 человек;

- причинение существенного вреда экологии района;

- причинение существенного вреда экономике региона;

- дестабилизацию социально-политической ситуации в субъекте федерации;

- выделения на ликвидацию последствий аварии более 0,1% бюджета субъекта федерации на текущий год.

Объект КИИ 3 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- причинение временного дискомфорта более половины населения города;

- причинение незначительного вреда экологии района;

- причинение незначительного вреда экономической деятельности клиентов, контрагентов, бюджету региона;

- дестабилизацию социально-политической ситуации в населённом пункте (городе);

- невозможность ликвидировать последствия аварии своими силами в установленные нормативами сроки.

Объект КИИ 4 категории – ИТКС резидента РФ, нарушение или прекращение функционирования которой может повлечь:

- причинение временного дискомфорта населению района города;

- причинение незначительного вреда экономической деятельности клиентов, контрагентов, бюджету региона;

- дестабилизацию социально-политической ситуации в районе города;

- привлечение для ликвидации последствий аварии заёмных средств.

Примечание к п. 3:

1. К ОКИИ 1-й категории, по моему мнению, должны быть отнесены ИТКС АЭС. Других объектов, подлежащих отнесению к этой категории, я назвать не могу. По-моему, их нет. Ко 2-й категории могут быть отнесены, например, ИТКС НПЗ, крупные химзаводы, заводы по производству взрывчатых и ядовитых химических веществ, твёрдотопливных ракет и, возможно ещё какие-то. К 3-й категории – ИТКС каких-то предприятий по производству удобрений, химреагентов, краски и т.п., АСУ ж/д движением, управления воздушным движением (при наличии таких), и пр. К 4-й – ИТКС банков (не всех), казначейств, некоторых федеральных органов власти, предприятий ЖКХ и ТЭК, водоснабжения и водоотведения и, возможно ещё какие-то. ИТКС органов власти регионов и, тем более, местного самоуправления к КИИ не относятся ни при каких условиях. Даже если они все разом выйдут из строя, ничего плохого в стране не произойдёт, скорее наоборот, легче станет бизнесу.

2. Можно обойтись и тремя категориями, объединив 3-ю и 4-ю и подкорректировав критерии.

4

Категорирование объектов КИИ

1. Резиденты РФ - владельцы ИТКС направляют в ФСТЭК заявку установленной формы на включение их ИТКС в перечень объектов КИИ РФ.

2. После проверки правильности заполнения заявки и приведенного владельцем обоснования, ИТКС включается/не включается в Перечень.

3. Включение ИТКС в Перечень влечёт за собой:

- бесплатное подключение ИТКС-ОКИИ к ГосСОПКА (брать деньги за подключение ОКИИ к ГосСОПКА – преступление. Государство заинтересовано, государство обязало и платить должно государство);

- предоставление владельцам ИТКС-ОКИИ налоговых льгот в зависимости от категории ОКИИ (например, для владельца ОКИИ 1 категории – освобождение от НДС, 2 категории – 75 % НДС и т.д.). Сэкономленные таким образом средства владелец ОКИИ обязан направить на создание СЗ ОКИИ;

- оказание в безусловном порядке постоянной (24х7) бесплатной методической помощи со стороны регуляторов;

- проверку соответствия созданной на ОКИИ СЗ требованиям регуляторов. Проверка может осуществляться двумя способами: 1) аттестацией лицензиатом ФСТЭК; 2) декларированием соответствия созданной на предприятии комиссией;

- при аттестации СЗ ОКИИ требованиям регуляторов лицензиатом ФСТЭК, руководство владельца ОКИИ освобождается от уголовной ответственности. В случае возникновения серьёзных последствий ответственность полностью возлагается на лицензиата, регулятора, выдавшего лицензию, ГосСОПКА;

- при декларировании соответствия СЗ ОКИИ требованиям регуляторов комиссией предприятия, ответственность возлагается на председателя комиссии и руководителя подразделения по ЗИ;

- ….

Примечание общее

Это – очень примерные, составленные мной в очень короткие сроки, тезисы, в общих чертах раскрывающие мои взгляды на организацию системы защиты КИИ РФ. Приведенные здесь определения и критерии могут быть не вполне точными, меры не до конца раскрытыми. Для того, чтобы их выверить и раскрыть нужно время и желание. Ни того, ни другого у меня не было. Всё это я написал только для того, чтобы: а) никто больше не говорил, что я только критикую и ничего не предлагаю; б) показать, что я совершенно справедливо критикую, в частности, 187-ФЗ; в) что предлагаемый мной подход к организации ГСЗИ в целом – разумный и методологически верный.

Источник: АГАСОФИЯ

Оцените материал:
Total votes: 236
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

"причинение временного дискомфорта населению района города"

Вот уж показатель, так показатель. Как говорится, на все времена.

Спасибо, Геннадий, посмеялся от души! Напоминает Стругацких "А внутре у ней неонка...".

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Александр, а понять не пытались? Смех без попытки понять говорящего/пишушего это тревожный показатель. 

up
17 users have voted.
Аватар пользователя Ржавский Константин

Геннадий Альбертович! Думаю, что разработка любой методики это удел специалистов практиков имеющих большой архив базы знаний по реализации проектов, причем не только применительно к КИИ, а всего спектра ИТКС обрабатывающих информацию различной важности.

Ну и такой вопрос, а что такого Вы предложили, что отличается от всех действующих методик категорирования, таких методик можно "наклепать" уйму! Как только я увидел те же 4 категории, уже закралось, в душе, какое-то неприятие! Угадал!

Вот было в ТЗИ 100 методик категорирования, будет 101 .... и что? Было ОИ, АСЗИ, ИСПДн, КСИИ, КИИ, АСУ ТП, АС ...... и что, ну завтра еще что нибудь придумают!

Я  это к чему? Ваша ипостась в другом, и Вы свою нишу правильно занимаете, а кто займется  реализацией методологий (логически выверенных, понятных, разумных) ... ну не знаю, наверное еще не родился тот кто, или не созрел!

to Александр: Обидеть полковника может каждый .....!

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

http://bis-expert.ru/comment/2620#comment-2620

 

Константин Васильевич!

1. Про методики: чтобы писать методики, нужно знать методологию. Кто из практиков сегодня знает научную методологию? Практики изучают законы; узаконенная методология алогична; отсюда – методология, известная практикам, алогична. Кстати, диссертации российских учёных, посвящённых безопасности (кроме моей) написаны тоже на базе узаконенной (конституированной) методологии. Есть несколько диссертаций, написанных на базе предложенной мной методологии, но это механическое переписывание, без глубокого понимания (у них просто задачи другие – защититься). Единственная более-менее научная методология та, которую предложил я. Отсюда – единственный, кто может написать более-менее логичную методику – я.

Это – чистая логика, ничего личного. Кто не согласен, проявитесь, обсудим вопросы методологии на любой площадке. Если я окажусь не прав, признаю и публично извинюсь.

2. Про новизну: странного в том, что Вы не увидели ничего нового в предложенной мной методике, нет, потому что мы не единожды обсуждали в т. ч. и с Вами эти вопросы. Но отличия есть – простота и другой стимул: не «кнут», а «пряник». Сегодня главный стимул – страх: придём, проверим, накажем. И он не работает. Чтобы он был эффективным, нужно иметь колоссальный репрессивный аппарат. Советской власти давным-давно уже нет, а советский подход остался. Но то, что было эффективно в одних условиях, абсолютно неэффективно в других. Подходы надо менять!

up
17 users have voted.
Аватар пользователя Атаманов Геннадий

Продолжение:

3. Про категории: первоначально я хотел обойтись тремя, но некто (уточнять не буду) посоветовал ввести четвёртую, что я и сделал. Но это не главное. Категорий должно быть не меньше 3 и не больше 5. 4 - самое то: 3 – основные и 4-я – дополнительная (пограничная). Ничего нового здесь не придумаешь, да в этом и нет необходимости.

4. Про методики: методики могут быть разными, но методика категорирования должна быть одна. Разными могут и должны быть критерии отнесения (или, как Вы говорите, параметры), а методика – только одна!

5. Про ипостась: моя ипостась – философия и методология безопасности. И, основываясь на выводах, изложенных в п.1, могу сказать, что круче меня в философии и методологии безопасности сегодня никого нет! При этом у меня за плечами 36 лет стажа только в сфере технической защиты информации. Но то, что в родном Отчестве пророков нет, известно испокон веков. Шельмовать, поганить, ёрничать – это по-нашему, по-русски. Помочь, поддержать, признать – это, к сожалению, не про нас.

up
14 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.