Подготовил и отправил в ФСБ замечания и рекомендации по правкам проекта Федерального закона РФ “О безопасности критической информационной инфраструктуры Российской Федерации” . Напомню, что они принимаются до 23.08.2013. Посмотрим, будет ли обсуждение как с Приказом ФСТЭК России №21 .
В целом документ мне понравился, критичных замечаний не много, в основном мелкие по тексту.
Вот на что обратил внимание и дал свои рекомендации:
- Термины и определения. Сейчас в них много неточностей, причем именно в терминах, т.к. дальше по документу используют уже чуть более корректные формулировки.
- мелкие правки в Основные направления обеспечения безопасности.
- мелкие правки вЦели и принципы обеспечения безопасности.
- Оценка защищенности.Сейчас не очень удачно прописано использование технических средств.
- Аккредитация. На мой взгляд требования к аккредитации организаций завышены. Я понимаю, что для объектов с "высокой" категорией опасности наличие лицензий и допуска к ГТ вполне обоснованно, а вот для "низкой" и "средней" имеет смысл пересмотреть. Уже сейчас на рынке ИБ я замечаю тенденцию оттока хороших специалистов из проектов по ИБ, если требуется допуск к ГТ. Все хотят отдыхать за границей...
- мелкие правки в Требования по обеспечению безопасности.
- мелки правки в пункт проГосударственную систему обнаружения, предупреждения и ликвидацию последствий компьютерных атак. Также включил предложение по предоставлению информации в данную систему дополнительно еще от специализированных организаций и экспертных сообществ по ИБ, не имеющих аккредитацию, и предложил вести перечень таких организаций и сообществ.
- Про срок реализации. Сейчас сроком вступления закона в силу является 01.01.2015, полагаю, что не успеют (будет как с ПДн), т.к. помимо необходимых методических документов от регуляторов, финансирования нужно еще время и на реализацию требований. Не успеют...
Кстати, хороший обзор законопроекта есть в блоге Сергея Борисова . Рекомендую.
А вообще тема безопасности ключевых систем не проста, многие документы регуляторов имеют гриф ДСП или Секретно. Работать с ними не удобно...
