Разговор за гостайну в КИИ

Разговор за гостайну в КИИ
2 марта всенародно избранный Президент  подписал  Указ №98 о внесении изменений в перечень сведений, отнесенных к гостайне. Теперь к ней относятся и "сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры Российской Федерации" и "сведения, раскрывающие состояние защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак". Какая же дискуссия после этой публикации началась в соцсетях... Как бывший обладатель второй формы хотелось бы поделиться некоторыми мыслями о том, что все это значит.

Во-первых, сейчас рано делать какие-нибудь выводы о том, что конкретно будет относиться к гостайне. Будет ли это тендерная документация, ТЗ, презентации с case studies, списки заказчиков на сайте интегратора и т.п. информация? Или все ограничится базой инцидентов в ГосСОПКЕ и реестром значимых объектов КИИ? К этим вопросам я бы добавил свой - а кто из тех, кто активно обсуждает этот вопрос (еще с момента появления этой нормы в ФЗ-187) читал сам закон №5485-1 "О государственной тайне"? Я не в порядке критики, мне просто интересно. У нас многие непонимания нашего законодательства происходят именно по причине не до конца прочитанных нормативных правовых актов.

А ведь внимательное изучение того же закона о гостайне дает ответы на многие вопросы. Что лично я извлек из документа 93-го года происхождения:
  • К гостайне может быть отнесено далеко не все (так называемый принцип законности). В ст.5 закона о ГТ приводится 4 блока сведений, который могут быть засекречены. "Наша" тема относится к 4-му, последнему, блоку - "сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты". Но помимо информации о мерах по безопасности КИИ и состоянии ее защищенности от компьютерных атак, в этом списке есть, например, сведения о мерах защищенности критически важных объектов. Я что-то не помню шумихи в 2010-м году по поводу засекречивания этой информации. А еще к секретной информации относятся сведения о шифрах, шифрованной связи, о разработке шифров, о методах анализа шифрсредств. При этом ГОСТ 28147-89 и ГОСТ Р 34.12-2015 выложены в открытом доступе в Интернете. Отсюда вытекает простой вывод - есть общая категория сведений, попадание в которую еще ничего не значит. Кстати, в ст.7 приводится перечень того, что не может быть отнесено к гостайне.
  • Вторым принципом засекречивания данных является обоснованность. Это значит, что прежде чем что-то засекречивать, оценивается целесообразность этого. В случае с КИИ это будут делать, согласно Указа №98, ФСТЭК и ФСБ (Минкомсвязи и ЦБ в этом списке нет). Будут ли они относить к гостайне информацию по каждому объекту КИИ или даже по значимому объекту КИИ? А нафига? Вот скажите мне, зачем к гостайне относить сведения о мерах защиты медицинской информационной системы районной поликлиники (а это объект КИИ у субъекта КИИ)? Никакого резона в этом нет - нецелесообразно. Частично об этом говорит и сам Указ (вместе с ФЗ-193), который относит к гостайне сведения о защитных мерах не отдельных объектов КИИ, не КИИ, а КИИ Российской Федерации. Почувствуйте, как говорится, разницу. Этот тот случай, когда размер имеет значение. Логично предположить, что и законодатели с регулятором будут исходить из того, что к гостайне могут относиться сводные данные по критической инфраструктуре России целиком, а не отдельных ее объектов. Детали будут определены ФСТЭК и ФСБ, но мне почему-то кажется, что они не будут многократно увеличивать нагрузку на себя ради районных поликлиник или сельских школ.
  • Помимо Указа Президента, определяющего по-крупному, что относить к гостайне, уполномоченными ФОИВами (в данном случае ФСТЭК и ФСБ) должны быть составлены развернутые перечни сведений, которые и будут относиться к гостайне. Их-то мы и ждем. Но когда они появятся, вы про это не узнаете, - эти перечни засекречены.
Промежуточный вывод №1. Не надо думать, что задача ФСБ и ФСТЭК заключается в засекречивании абсолютно всего.

Вообще, на этом можно было и закончить заметку, так как обсуждать то, что еще не определено, достаточно странно. Но я же блогер :-)

Оптимизм - это хорошо, но не стоит забывать про то, что даже если вас съели, у вас есть как минимум два выхода :-) Вот и с засекречиванием существует два сценария развития событий - положительный (под ГТ будет отнесена сводная информация по КИИ РФ) и отрицательный. Поговорим про отрицательный, а точнее худший сценарий, - под гостайну попадут сведения о мерах защиты каждого объекта КИИ в отдельности (даже незначимого). Вспоминая принципы засекречивания сведений, максимум, на что можно рассчитывать абсолютному большинству субъектов КИИ, - это на минимально возможную, третью форму допуска (секретно). Отдыхать в Тайланде или Турции вы сможете, загранпаспорт у вас забирать не будут. Зато социальные гарантии и надбавки к зарплате положены (см. ПП-573 от 2006 года); но не всем. Хотя, если отбросить в сторону высокоуровневые рассуждения и попробовать рассмотреть конкретные кейсы, то становится понятно, что никто не будет какой-нибудь ломбард или детсад загонять под гостайну.

Промежуточный вывод №2. Третья форма - это не так страшно. Вторая тоже :-)

Допуск к гостайне могут получить не все. В ст.22 приводится перечень ограничений, среди которых постоянное проживание близких родственников за границей или отказ в участии в проверках "анкетных данных" со стороны соответствующих органов.

Промежуточный вывод №3. Получить доступ к гостайне могут не все.

Хорошо. Пусть будет худший сценарий. Как мне узнать, сведения о каких конкретно мерах относятся к гостайне? Когда надо создавать режимно-секретные отделы (РСО)? Не спешите и не бегите впереди паровоза. Если вы попали под раздачу, вы получите "письмо счастья" от регулятора, в котором вас предупредят о наличии у вас "сведений, составляющих". Вы, конечно, и сами можете принять решение о том, что у вас есть секретная информация (ст.10 закона о гостайне). В этом случае вы должны будете направить соответствующий запрос в уполномоченные органы, а уже они по вашему представлению выполнят соответствующие процедуры. Только зачем вам это головная боль по вашей же инициативе? Зачем загонять себя в угол? Живите безмятежно. Если у вас нет гостайны (а я все-таки считаю, что таких будет 99% субъектов КИИ), то и напрягаться не надо. А если есть, то к вам придут и сообщат об этом. Самодеятельность и инициатива в этом вопросе не нужна и только навредит вам.

Промежуточный вывод №4. Не проявляйте инициативу - ждите письма от ФСБ или ФСТЭК.

Да ну в ... эту гостайну. Не хочу я ничего засекречивать, внедрять СТР (а его как раз обновили недавно), получать допуска, лишаться возможности съездить в Европу на Рождество. Для многих это станет сюрпризом, но вы и не обязаны это делать. Вам не надо загонять себя в жесткое прокрустово ложе требований по гостайне и тратить на это деньги. Согласно ст.10 вы либо заключаете договор с регулятором на возмещение ущерба, связанного с засекречиванием, либо... не заключаете. В первом случае государство вам выплачивает сумму, установленную договором. Если она вас устраивает, то на этом проблема считается исчерпанной. Но так как государство у нас бедное и на реализацию требований ФЗ-187 в бюджете средств не заложено, то скорее всего предлагаемая сумма денег вас не устроит. Поэтому вы можете отказаться от заключения договора и от выполнения ограничений, связанных с засекречиванием. Правда, от ответственности за разглашение и утечку гостайны вас это не спасет, о чем вас и предупредит регулятор.

Промежуточный вывод №5. Вы не обязаны защищать гостайну, но это не снимает с вас ответственность за разглашение гостайны.

Если у вас все-таки будет гостайна в части КИИ, то вы будете ограничены в списке организаций, которых вы можете привлекать для выполнения работ по защите информации. У таких контор должна быть лицензия на работу со "сведениями, составляющими" в соответствие с ПП-333 95-го года (в отношении той информации, которая будет передаваться им по договору). У крупных интеграторов они обычно есть, а у мелких обычно нет. С вендорами ситуация аналогичная - если они выполняют для вас какие-то работы, то возможно они больше не смогут это сделать, если у них не будет соответствующей лицензии. Интересно, дочки иностранных ИБ-вендоров могут получить такую лицензию?

Промежуточный вывод №6. Списки подрядчиков по ИБ, возможно, придется пересмотреть.

Если посмотреть на текстовый фрагмент до первого промежуточного вывода, то мне пока остается непонятной ситуация с корпоративными центрами ГосСОПКИ, которые накапливают информацию о состоянии защищенности (или ее может обрабатывать только ФСБ?) и сведения о мерах по обеспечению безопасности (мониторить-то надо средства защиты). Попадут ли они под гостайну или нет? Тот же вопрос с вендорами ПО, которое используется на объектах КИИ. Допустим там найдена уязвимость, которую надо устранять. Можно ли ее будет передать производителю, если информация о дырах будет считаться "сведениями о защищенности", а у производителя нет лицензии на работу с гостайной?

Финальный вывод. Читайте законодательство - там все написано! Ну или почти все :-)


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!