ФЗ коряв, но он ФЗ. Его изменят, но когда, ХЗ!

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(14)
()
В пятницу ряд доблестных блогеров, активно, но не всегда верно, пишущих о различных законодательных инициативах и особенно о ФЗ-187, были приглашены на профилактическую, ой, беседу, целью которой было ознакомить блогерскую общественность со взглядами регулятора на безопасность критической инфраструктуры. За месяц до этого, через блогеров было собрано более 150 предельно конкретных вопросов, ответы на которые интересовали субъектов КИИ, а также интеграторов, оказывающих услуги в сфере, регулируемой ФЗ-187. Встреча состоялась, но ее результаты немного отличались от первоначальных ожиданий.

Алексей Лукацкий, Сергей Борисов, Александр Кузнецов, Алексей Комаров, Валерий Комаров (они с Алексеем не братья), Павел Луцик

Судя по времени, которое регулятор взял на анализ вопросов, я считал, что будут даны ответы на все 150+ из них и уже даже заготовил бутерброды с горячим чаем и предупредил семью, что могу вернуться заполночь. Но увы... ФСТЭК, числом 4 человека, во главе с Виталием Сергеевичем Лютиковым, поделилась своим видением происходящего и будущего, а также обрисовала свое видение ключевых вопросов, касающихся защиты информации в КИИ. При этом ФСТЭК сразу предупредила, что и взгляд может быть и неправильным. Хотя учитывая, что именно они регулятор, даже неправильный взгляд стоит учитывать. РКН, вон, тоже многие вещи трактует неправильно, но это не мешает ему осуществлять надзорную деятельность в соответствие с этими неверными (на мой взгляд) трактовками. Так и со ФСТЭК. Второй важный момент, прозвучавший на встрече, все, что делает ФСБ - не может быть предметом обсуждения, независимо от того, правильно это или нет, согласен с этим регулятор или нет. В чужие дела ФСТЭК не лезет, занимась только своей зоной ответственности. Уже после встречи у нас возникла мысль, что может быть и ФСБ/НКЦКИ соберет блогеров на такое неформальное общение. Хотя я в это верю с трудом. Тот же malotavr уже делился тем, что ФСБ собирает экспертов для обсуждения, но круг этих экспертов явно иной, чем ходоки блогеры, ходившие в ФСТЭК.

Однако, несмотря, на несбывшиеся ожидания от встречи, все-таки на ней прозвучало несколько, местами очень революционных идей, которые я посчитал нужным осветить. Вообще, основная идея встречи для ФСТЭК заключалась в более широком освещении темы безопасности КИИ, так как сам регулятор не всегда может достучаться до всех, а информационные письма готовить не всегда удобно и возможно. Да и аудитория у приглашенных блогеров будет, наверное, поболее, чем у ФСТЭК, о чем регулятор не преминул напомнить на встрече. Поэтому участники встречи со стороны общественности стали этаким рупором, которой должен был донести до всех интересующихся подходы и взгляды регулятора. Итак, тезисно:

  1. "ФЗ коряв, но он ФЗ". Это общая мысль к тексту ФЗ-187, который содержит немалое количество ляпов, в том числе и терминологических. Но общее мнение регуляторов, законодателей и приближенных к ним - менять ФЗ сейчас неразумно. Должно пройти минимум года два, прежде чем об этом всерьез задумаются. Поэтому ни изменения понятия "объект КИИ", ни понятия "субъект КИИ", ни перечня сфер деятельности не будет в ближайшее время.
  2. Подход к определению объектов КИИ от критичности процессов, которые ИС обслуживает, останется неизменным. И его поддерживает и ФСБ в том числе. Поэтому разночтений с тем, считать объектом КИИ то, что написано в ФЗ-187 или в ПП-127, у регуляторов нет.
  3. Позиция некоторых субъектов, считающих, что если они могут перейти на ручной режим работы, то у них нет значимых, и вообще объектов КИИ, не является верной. Важна не только доступность ИС, но и ее влияние на критический процесс. Если в результате направленного (и этот момент достаточно важен - направленность, то есть злой умыслел) воздействия на ИС будут изменены какие-либо показатели, в результате чего будут предприняты какие-то действия, приводящие к ущербу, то такая ИС тоже должна считаться объектом КИИ. Иными словами, при категорировании надо думать не только о доступности ИС.
  4. Планы по изменению нормативных актов:
  • Будут изменены некоторые показатели в ПП-127 с целью уменьшения числа объектов КИИ, которых и так слишком много; даже при учете критичности процессов при категорировании. Например, изменят в сторону увеличения масштаб территории, которая может пострадать от направленного воздействия на объект КИИ.
  • Будут уменьшать число сведений, которые должны будут отправляться в ФСТЭК по результатам категорирования. Например, исключат сведения об уязвимостях, а некоторые сведения будут загрублять, чтобы процесс категорирования не превращался в пытку (например, в части составления перечня угроз).
  • Попробуют увеличить масштаб объектов КИИ, чтобы их число было не катастрофически большим. По озвученным оценкам ФСТЭК (странно, что это не было сделано при внесении законопроекта в Госдуму) в России насчитывается около 12000 субъектов КИИ (оценка примерная - было озвучено, что приславшие к моменту встречи перечни 590 субъектов - это 5-6% от их оценочного числа). Субъекты имеют, в среднем (по моей оценке озвученных ФСТЭК данных), около 40 объектов КИИ. Итого полмиллиона объектов КИИ - колоссальная работа для регулятора.
  • Пересмотрят экономические показатели, так как некоторые субъекты начинают манипулировать показателями с целью ухода от значимых объектов. И доказать "махинации" достаточно сложно.
  • Планируется ввести новую статью в КоАП, в дополнение к 13.12. Дело в том, что 13.12 наказывает только за нарушение обязательных требований по защите, но, например, за непредоставление перечня, за некатегорирование, за нарушение правил категорирования, за неотправку данных в ГосСОПКУ и пр. наказаний не предусмотрено. Этот пробел хотят устранить и повторить идею со статьей 13.11 КоАП по персональным данным. Наказывать по ней смогут и ФСТЭК, и ФСБ.
  • Планируют вернуть сроки составления перечня объектов КИИ, от которого будет отсчитываться год на само категорирование. Вариантов рассматривается два - или как было (перечень с последующим категорированием), или конкретный срок (например, конец 2019-го года), к которому надо завершить категорирование.
  • Новое ПП, которое планируют вносить в Правительство в первом квартале 2019-го года, обратной силы иметь не будет. То есть перекатегорировать ничего не надо будет. 
  • В приказах ФСТЭК планируют учесть обеспечение ИБ в холдинговых и интегрированных структурах.
  • Наличие компенсирующих мер (например, резервирования) не является основанием для некатегорирования объекта и присвоения ему незначимой категории.
  • Сеть электросвязи - это не объект КИИ.
  • Водоканал - это... Все зависит от конкретной организации. Дело в том, что водоканал, как организация, занимающаяся водоснабжением и водоотведением, не относится к субъектам КИИ, так как такой сферы в ФЗ-187 нет (хотя в КСИИ была). А вот когда в Уставе конкретного ООО "что-тотамводоканал" написано про обслуживание электротехнических установок или про генерацию тепловой энергии (горячая вода и пар), то это уже сфера ТЭК со всеми вытекающими. Если вы введете в Google "водоканал устав", то найдете много готовых уставов различных водоканалов с различными целями существования организации, которые могут и попасть под действие ФЗ-187.
  • ОМСУ - не является госорганом, а значит и не попадает в список субъектов КИИ. 
  • Немного не в тему КИИ, но прозвучала интересная информация. Оказывается есть несколько решений судов, в которых признано, что информационные системы различных ГУПов и ФГУПов являются государственными, даже несмотря на то, что ГУП/ФГУП - это коммерческая структура. Продолжаю придерживаться позиции, озвученной мной в 2015 году, но с позицией судов спорить может только сам ГУП/ФГУП.
  • Если удаленный доступ (в контексте приказа ФСТЭК) осуществляется с помощью VPN, то это не удаленный доступ, а локальный. Не самый логичный вывод, но зато снимает ряд проблем, связанных с привлечением для проведения регламентных работ сотрудников сторонних организаций.
  • Сенсацию (для меня) я оставил на самый конец. Прозвучала позиция регулятора (я с ней не согласен), что если деятельность субъекта КИИ зависит от облака, в котором не только размещаются данные, но и ведется работа (как делают некоторые ЛПУ с облачными медицинскими ИС), то облако надо считать объектом КИИ этого субъекта! Как при этом получить информацию об уязвимостях, угрозах, мерах защиты и т.п., не совсем понятно. Рекомендация "договариваться" классная, но в реальной жизни не работает. Если логику ФСТЭК наложить на ДБО, которым пользуется нефтяная компания, которая из-за атаки на ДБО может недосчитаться денег на счете и недоплатит денег в бюджет, то получится, что ДБО банка - это объект КИИ нефтяной компании!!! Я посмотрю на попытки нефтяной компании получить информацию от банка об уязвимостях в ДБО, ее мерах защиты, модели угроз, списке допущенных лиц и другой достаточно критичной информации, требуемой для категорирования. Такая позиция ФСТЭК имеет далеко идущие и негативные последствия для многие субъектов, использующих услуги аутсорсеров.

  • Вот таков краткий перечень озвученных регулятором на встрече блогеров вопросов. Да, не совсем то, что ожидалось, но сам факт встречи можно только приветствовать. Нечасто регуляторы у нас идут на контакт и готовы делиться своей позицией с широкой общественностью. Тут можно сказать ФСТЭК только спасибо. Что касается оставшихся вопросов, то мы договорились, что из 150 вопросов будут выбраны наиболее важные и регулятор попробует на них ответить на следующей встрече, которая состоится в обозримом будущем (регулятор готов к этому).

    ЗЫ. Да, кстати. Встреча началась с того, что Виталий Сергеевич Лютиков укорял некоторых экспертов, которые, выступая на публичных мероприятиях по КИИ, говорят не то, что говорит регулятор на своих мероприятиях, по сути перевирая слова ФСТЭК, что потом приводит к куче головной боли. В качестве примера было приведено высказывание одного из экспертов, который на большйо конференции высказал мысль, что перечени объектов КИИ надо направлять на имя Шевцова Дмитрия Николаевича, начальника 2-го Управления ФСТЭК. Это неверно! Так что стоит учитывать, что и я могу неверно трактовать те или иные высказывания регулятора :-) Но, надеюсь, если я местами не прав, мне старшие товарищи укажут на это. Отчасти именно поэтому ФСБ не практикует такие встречи - слишком много потом разгребать приходится :-) Не могу их винить за это, хотя открытость ФСТЭК мне импонирует больше.

    ЗЗЫ. Также своим мнением о встрече поделились и коллеги:

    Обзоры от Сергея Борисова и Валерия Комарова, надеюсь, появятся у них в блогах.
     
    Комментарии в Facebook
     

    Комментарии на сайте

    Аватар пользователя Ржавский Константин

    Алексей! Интересно Ваше мнение по высказанным (с Ваших слов) допущениям в начале встречи, может ли "законодатель" в этой области позволять себе такие высказывания: "При этом ФСТЭК сразу предупредила, что и взгляд может быть и неправильным. ....РКН, вон, тоже многие вещи трактует неправильно, но это не мешает ему осуществлять надзорную деятельность в соответствие с этими неверными (на мой взгляд) трактовками." и "В чужие дела ФСТЭК не лезет, занимась только своей зоной ответственности. " Может отсюда растут ноги многих пересечений и недопониманий в РД уважаемых ведомств?

    А вот еще интересно, Вы на этой встрече выполнили обещание, данное Атаманову Г.А., по передаче его методики по категорированию объектов КИИ? Или Вы это сделали ранее, может быть, и что Вам ответили товарищи из ЦА?

    up
    16 users have voted.
    Аватар пользователя alukatsk

    Константин, начну сразу со второго. Я, честно, не помню, чтобы Геннадий мне что-то передавал, чтобы я мог это отдать в ФСТЭК.

    А что касается первого, то ФСТЭК не является законодателем по КИИ вообще и по категорированию в частности. Они всего лишь ФОИВ в области безопасности КИИ, который даже не уполномочен комментировать НПА по этой теме. Закон писала другая служба, а принимала Госдума. ПП-127 принимало Правительство и оно вносило туда последние правки и убирало ненужное по их мнению. Отсюда и все проблемы. ФСТЭК живет в данной им реальности, не всегда имея возможности поменять ее, подстраиваясь под реалии и пытаясь извлечь максимум из сложившейся ситуации. А Геннадий, если уж мы с него начали, предлагает все уничтожить и строить новую, идеальную реальность. Так не бывает. Не в этой жизни

    up
    6 users have voted.
    Аватар пользователя alukatsk

    Константин, начну сразу со второго. Я, честно, не помню, чтобы Геннадий мне что-то передавал, чтобы я мог это отдать в ФСТЭК.

    А что касается первого, то ФСТЭК не является законодателем по КИИ вообще и по категорированию в частности. Они всего лишь ФОИВ в области безопасности КИИ, который даже не уполномочен комментировать НПА по этой теме. Закон писала другая служба, а принимала Госдума. ПП-127 принимало Правительство и оно вносило туда последние правки и убирало ненужное по их мнению. Отсюда и все проблемы. ФСТЭК живет в данной им реальности, не всегда имея возможности поменять ее, подстраиваясь под реалии и пытаясь извлечь максимум из сложившейся ситуации. А Геннадий, если уж мы с него начали, предлагает все уничтожить и строить новую, идеальную реальность. Так не бывает. Не в этой жизни

    up
    11 users have voted.
    Аватар пользователя alukatsk

    Константин, начну сразу со второго. Я, честно, не помню, чтобы Геннадий мне что-то передавал, чтобы я мог это отдать в ФСТЭК.

    А что касается первого, то ФСТЭК не является законодателем по КИИ вообще и по категорированию в частности. Они всего лишь ФОИВ в области безопасности КИИ, который даже не уполномочен комментировать НПА по этой теме. Закон писала другая служба, а принимала Госдума. ПП-127 принимало Правительство и оно вносило туда последние правки и убирало ненужное по их мнению. Отсюда и все проблемы. ФСТЭК живет в данной им реальности, не всегда имея возможности поменять ее, подстраиваясь под реалии и пытаясь извлечь максимум из сложившейся ситуации. А Геннадий, если уж мы с него начали, предлагает все уничтожить и строить новую, идеальную реальность. Так не бывает. Не в этой жизни

    up
    13 users have voted.
    Аватар пользователя alukatsk

    Константин, начну сразу со второго. Я, честно, не помню, чтобы Геннадий мне что-то передавал, чтобы я мог это отдать в ФСТЭК.

    А что касается первого, то ФСТЭК не является законодателем по КИИ вообще и по категорированию в частности. Они всего лишь ФОИВ в области безопасности КИИ, который даже не уполномочен комментировать НПА по этой теме. Закон писала другая служба, а принимала Госдума. ПП-127 принимало Правительство и оно вносило туда последние правки и убирало ненужное по их мнению. Отсюда и все проблемы. ФСТЭК живет в данной им реальности, не всегда имея возможности поменять ее, подстраиваясь под реалии и пытаясь извлечь максимум из сложившейся ситуации. А Геннадий, если уж мы с него начали, предлагает все уничтожить и строить новую, идеальную реальность. Так не бывает. Не в этой жизни

    up
    13 users have voted.
    Аватар пользователя Ржавский Константин

    Алексей, самое печальное, что занимаясь, по сути, одним делом все регуляторы живут каждый в своей реальности, причем эти реальности не пересекаются (в плане принятия решений). Я про это.

    Да, кстати, просто интересно: https://www.facebook.com/groups/RusCyberSec/permalink/860656950792449/

    https://bis-expert.ru/blog/4042/58263

    up
    14 users have voted.
    Аватар пользователя alukatsk

    Ну тут уж я ничего поделать не могу. Разнимать кошку с собакой - дело неблагодарное.

    up
    14 users have voted.
    Аватар пользователя Ржавский Константин

    Да, кстати, только вернулся с работ. В одной реальности, прям настрого Астра Linux, в другой реальности Windows, в одной реальности блок сигнализации - тут, в другой реальности - там! Как Вам такой расклад?

    up
    12 users have voted.
    Аватар пользователя alukatsk

    Так это жизнь во всем ее многообразии. Только Геннадий предлагает все разрушить и построить с нуля идеальный мир. Так не бывает. Или бывает, но только в фантазиях. 

    up
    19 users have voted.
    Аватар пользователя Атаманов Геннадий

    Алексей, я ничего и не должен был передавать лично Вам. Вы попросили меня написать правильную методику (в комментариях к моему посту «187-ФЗ: споры не утихают» на ФБ) и обещали передать её в ЦА. Я написал: https://bis-expert.ru/blog/4042/58263. Вы её не только не передали, но даже не читали. Но главное не это. Теперь у Вас нет никакого морального права говорить/писать, что я только критикую и ничего не предлагаю. Его и раньше не было, потому что я всегда что-то предлагал конструктивное или очень конструктивное, но доступное только вдумчивому читателю. А тут без всяких околичностей - незавуалированный чистейший конструктивизм.  

    up
    19 users have voted.
    Аватар пользователя alukatsk

    Геннадий, я вам открою маленький секрет. Я портал BIS-Expert вообще не читаю и комментирую только комментарии к моим заметкам, которые тут размещаются автоматически, без моего участия. Поэтому я и не мог ничего увидеть. Если бы вы хотели, то могли как-то достучаться до меня; благо способов это сделать масса. Но увы... вы даже в той ветке на ФБ не стали давать ссылку. Ну да ладно, это лишний раз только демонстрирует ваше стремление что-то до кого-то донести, А что касается вашей так называемой методику, то по указанной вами ссылке ее нет. Там набор неких мыслей, которые вы, почему-то, решили назвать методикой. Уж от кого, от кого, а от какого методолога, как вы, я такого не ожидал. Ну да и снова ладно. Вы упорно не слышите (и не хотите слышать) меня. Я уже не раз писал и вам, и вообще, что ФСТЭК находится в заложниках действующей редакции ФЗ. Никто менять ФЗ не будет, даже если бы хотели (а хотят). Поэтому все, что вы предлагаете должно отталкиваться от действующей редакции ФЗ. Вы же, по своей классической привычке, решили, что действующее законодательство вам не указ и можно фантазировать без оглядки на него. Давайте все разрушим, а потом... Ну фантазируйте дальше, кто ж вам может запретить.

    up
    8 users have voted.
    Аватар пользователя Атаманов Геннадий

    Алексей:

    1. Я не экстрасенс и не мог знать, что Вы читаете, а что нет. Написал на общей для всех (как я считал) ТЗИшников площадке. 

    2. То, что я написал, это набросок и я об этом честно написал. И это именно методика. Практически готовая.

    3. Меня не интересует, кто из них у кого в заложниках. Главное – мы все в заложниках у не очень умных/грамотных/порядочных (выбрать нужное) акторов.

    4. В отличие от Вас я читаю и помню то, что читаю и что пишу. Я уже десяток раз писал, что всё, что написано в действующих редакциях ФЗ, методологически несостоятельно. А, самое главное, каждая следующая редакция хуже предыдущей. И, заметьте, писал корректно, без мата. А Вас эта кривота, по всей видимости, так достала, что Вы этот коннотат в заголовок вынесли.

    5. Я потому и пишу, что действующее законодательство для меня, как должностного лица, указ, но указ (по Вашей терминологии) – кривой. И я хочу, чтобы его выпрямили! Сами они этого сделать не смогут и я хочу им помочь. И пишу не как должностное лицо, а как специалист и учёный. Для учёного же закон не является методологическим основанием исследования. Об этом я тоже уже много-много раз писал и хочу, чтобы Вы это запомнили и чтобы мы больше к этой теме не возвращались. И как выйти из создавшегося тупика плавно, без революционного «до основания», я тоже писал. И то, что Вы этого не читали, не моя вина.

    up
    14 users have voted.
    Аватар пользователя alukatsk

    Эгоцентризм - плохое качество в ситуации, когда вы хотите что-то исправить. Законодательство крутится не вокруг вас и если вы действительно хотите что-то менять, то выходите на орбиту тех, кто в состоянии менять что-то. Считать, что они снизойдут до вас, читая десятки разных площадок (хотя некоторые из них читают), неразумно. Но зато выгодно. Можно и дальше придерживаться позиции "...а я весь в белом".

    up
    5 users have voted.
    Аватар пользователя Атаманов Геннадий

    Алексей, Вы очень большой мастак вещать ярлыки. Вы мне их уже столько понавешали … и ни одного слова по существу. И всем пора уже усвоить, что мне наплевать вокруг кого крутится законодательство, а кто крутится вокруг законодательства. Я пытаюсь докопаться до истины и иногда докапываюсь, и делюсь добытым знанием с людьми, а принимать его или нет – их дело. Это не эгоцентризм. Если Вам нравятся «измы», то я Вам подскажу, как это назвать. Это – прометеизм. А назвать прометеизм выгодной позицией … как-то странно. Вот то, что предлагаете мне Вы, это – конформизм, и это выгодно, но это не моё. Моё – это синергизм.

    Так что, когда возникнет желание повесить мне очередной ярлык, обращайтесь, я подскажу. А если вдруг появится желание обсудить конкретную проблему (чем чёрт не шутит), тоже обращайтесь. Обсудим. Только проблему, но не мою скромную персону.

    up
    8 users have voted.
    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.