Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?

Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?
28 августа Аркадий Дворкович подписал план-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», утвержденным Заместителем Председателя Правительства Российской Федерации (№ 5985п-П10). А спустя всего пару дней был опубликован проект первого из пакета документов, который определяет регулятора в области безопасности КИИ, которым предсказуемо стала ФСТЭК.

Часть коллег в Фейсбуке высказала предположение, что это еще не финальное решение и возможно текст будет изменен. Возможно. Но я все-таки предполагаю, что это уже финальное решение и тому есть несколько причин. Во-первых, если бы регулятором могла стать ФСБ, то это было бы проще сделать еще на этапе подготовки законопроекта - автором же его являлась именно ФСБ. Если они тогда этого не сделали, то, возможно, они просто не хотят быть таким регулятором (им и темы ГосСОПКИ достаточно). Версия, что это может быть Минкомсвязь (все-таки мы говорим не обо всех критических инфраструктурах, а только об информационных) также существует, но в этом ведомстве просто некому заниматься этой темой и опыта у них нет. Остается только ФСТЭК, которая и безопасностью занимается, и к информационным системам имеет прямое отношение, и ключевыми системами информационной инфраструктуры (КСИИ) занималась. То есть сходятся все ключевые факторы, которые могли бы определить регулятора. Да и проект Указа Президента готовила именно ФСТЭК.

До 13-го сентября будет идти процедура общественного обсуждения, за которой последует ряд дополнительных процедур, включая согласование между ФОИВами, а затем принятие нормативно-правового акта. Произойти это должно до конца октября (вдвое оперативнее, чем это предполагалось изначально). С этого момента начнется активная работа по разработке подзаконных актов в области контроля и надзора, обеспечения безопасности значимых объектов КИИ, а также регламентация процесса ведения реестра значимых объектов КИИ. 

Самым интересным в этой тройке является разработка требований по защите. Если исходить из версии, что регулятором будет ФСТЭК, то на мой взгляд развитие событий пойдет следующим путем:
  • Приказ №31 от 2014-го года (и, возможно, от 2017-го года тоже) получит долгожданную легитимизацию и будет официально распространяться на АСУ ТП. При этом, возможно, в него внесут изменения для распространения его положений на все 13 отраслей, упомянутых в ФЗ о БКИИ, а не только на те, которые описаны в 31-м приказе.
  • Появится еще один приказ, ориентированный на отрасли, в которых нет АСУ ТП, - наука, финансовые организации, здравоохранение и т.п. Вновь предположу, что этот приказ не станет чем-то новым для специалистов и будет похож на 21-й приказ ФСТЭК. По крайней мере все последние документы ФСТЭК с перечислением мер защиты похожи друг на друга как браться-близнецы. Поэтому и новый приказ будет наследовать уже ставшие привычными за последние 4 года требования по защите информации.
Учитывая, что список требований по защите уже отработан в 17/21/31-м приказах, то врядли процесс выпуска нового приказа сильно затянется.

Я вообще бы разработал уже унифицированный набор защитных мер и утвердил его приказом, просто ссылаясь на него по мере необходимости (по аналогии с ГОСТом ЦБ и ссылками на него из положений Банка России). Ведт ФСТЭК еще предстоит готовить документ по станкам с ЧПУ, а потом, может быть, еще что-то потребуется. Поэтому проще было иметь один единственный набор, к которму можно было бы обращаться по мере необходимости и не писать новые требования.

    Немного особняком стоят:
    • Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203
    • постановление Правительства Российской Федерации, содержащее сведения, составляющие государственную тайну,
    в которые должны быть внесены изменения, так как согласно принятому законодательству сведения о мерах защиты объектов КИИ относятся к государственной тайне. Но и с ними ФСТЭК не должна затягивать.

    Что в итоге? В начале 2018-го года мы должны иметь необходимые нормативно-правовые акты, вызывающие наибольшее количество вопросов (наряду с постановлением Правительства с показателями значений категорирования объектов КИИ). Осталось ждать не так уж и много...

    ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.
    Alt text
    Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

    Антивирус для мозга!

    Лечим цифровую неграмотность без побочных эффектов

    Активируйте защиту — подпишитесь