Открытость регуляторов и их готовность консультировать всеми доступными способами лично у меня вызывает исключительно положительные эмоции.

В непростой теме обеспечения безопасности критической информационной инфраструктуры вопросов и туманностей хватает. Приятно, что ФСТЭК России активно выступает на различных мероприятиях и открыто декларирует свою позицию по самым разным связанным с тематикой вопросам. При этом коллеги со Старой Басманной не останавливаются на достигнутом и готовы обсуждать наиболее наболевшие темы и в не совсем стандартных форматах.

Так, благодаря организационной помощи незаменимого Алексея Лукацкого, выступившего в качестве главного коммуникатора, я и мои коллеги Валерий Комаров, Павел Луцик, Сергей Борисов и Александр Кузнецов приняли участие во встрече ФСТЭК с блогерами.

Всего, в том числе с помощью участников Telegram-чата КИИ 187-ФЗ, было собрано 153 вопроса. Понятно, что за 2 часа все их было никак не осветить, к тому же часть вопросов были расценены как попытка повышения собственной квалификации со стороны лицензиатов =)

На мой взгляд, действительно, комментировать какие-то конкретные частные вопросы можно только либо в рамках отдельных консультаций (представители ФСТЭК, к слову, всегда заявляют о своей открытости к диалогу) либо очень детально представляя, о чем идёт речь и видя перед собой полный набор документов (уставов, положений, документации на информационную систему и проч.).

Встреча по словам Виталия Сергеевича Лютикова преследовала больше цель донести основную информацию, касающуюся общей позиции ФСТЭК. Более того, в случае возникновения необходимости встреча может быть проведена повторно и даже неоднократно.

В целом могу отметить, что каких-то явных откровений или всё с ног на голову переворачивающих заявлений не прозвучало (по крайней мере, для меня). Во всяком случае, позиция ФСТЭК вполне логична и, что немаловажно, последовательна.

Больше интереса у меня вызвали планы, а тут из главного отметил бы следующее:

  1. Изменения в сам 187-ФЗ вносить в ближайшее время не признано целесообразным - закон ещё даже не в полной мере заработал, чтобы уже начинать его менять;
  2. Планируются изменения в Постановление Правительства 127, приказы ФСТЭК и КоАП;
  3. В ПП 127 будет скорректирован ряд показателей - в частности, те, где речь про территорию и число людей;
  4. В КоАП появится ответственность за конкретные нарушения пунктов 187-ФЗ: непредоставление Перечня, несвоевременное Категорирование, непринятие мер и т.п.;
  5. Больший акцент сделают не на ущерб от компьютерного инцидента самой информационной системе, а на оценку последствий от целенаправленного воздействия на критический процесс через компьютерную атаку на информационную систему;
  6. Есть желание сократить объём сведений, предоставляемых по итогам Категорирования: точно не нужны длинные списки уязвимостей и детальные модели угроз, включаемые в документ некоторыми субъектами КИИ;
  7. Также планируется загрубить подход с целью уменьшения количества  объектов в предоставляемых Перечнях: их уже сейчас 25 000, а по оценкам ФСТЭК Перечни направили от силы 5-6% всех субъектов КИИ;
  8. Обязательно в 235 и 239 приказах ФСТЭК появятся более детальные пояснения для случаев построения систем безопасности в интегрированных структурах (холдингах и проч.), а также для создаваемых/строящихся объектов;
  9. ФСТЭК не нравится ситуация, когда при Категорировании начинаются махинации с финансовыми показателями и указываются, например, 4% там, где минимальный порог для присвоения категории 5% - с этим планируют бороться;
  10. Срок на предоставление Перечня будет установлен или как ранее (в проекте ПП 127) планировалось в виде установки срока в полгода или в виде конкретной даты: например, декабрь 2019 года; вообще, ФСТЭК считает, что все субъекты КИИ уже должны были направить свои Перечни, а на Категорирование год разумно предоставлять только тем, у кого действительно много объектов, а категорировать целый год три объекта - это странно.

В любом случае: никакие изменения обратной силы иметь не будут - например, выполнившим Категорирование ничего переделывать не надо будет.

Самое, пожалуй, дискуссионное озвученное мнение было примерно таким:

субъект КИИ с точки зрения ФСТЭК - это тот, кто сам функционирует в одной сфер, и кто одновременно владеет, арендует или (!)использует какой-либо объект КИИ (ИС/ИТКС/АСУ). При этом объектами КИИ не являются те ИС/ИТКС/АСУ, воздействия на которые никак не могут привести к социальным, экономическим и далее по списку последствиям.

Мне кажется, что просто не надо воспринимать эти слова буквально, как попытку трактовать определения из 187-ФЗ в нарушение самого ФЗ, а нужно к ним относится как тому самому "духу закона", который не всегда совпадает с его "буквой". Тогда всё логично - кадровая система АЭС никому не интересна.

Нужно только не забывать, что у ФСТЭК есть вполне конкретные полномочия и спрашивать она с субъектов КИИ будет именно в рамках этих полномочий, а вот, например, прокуратура при трактовке статьи 274.1 УК может иметь своё собственное мнение.

Про использование в дополнение к владению и аренде тоже логично - если субъект КИИ не владеет ИС, но его критические процессы завязаны на эту ИС, то не стоит по формальному признаку от этой ИС открещиваться.

Ещё мне понравилась чётко сформулированная позиция по поводу систем резервного копирования, противоаварийных систем и проч.: их наличие никак не должно влиять на включение в Перечень, а учитывать их при неприсвоении категории значимости целесообразно только тогда, когда они сами не являются компьютеризированными (иначе они точно также могут рассматриваться как потенциальный вектор для атаки).

Также пометил себе пример с системами наблюдения/мониторинга, которые сами по себе ничем не управляют, но используются для принятия решений: их нельзя исключать из рассмотрения, если искажения в них приведут к тому, что оператор, например, пойдёт и повернёт ненужный тумблер, из-за чего произойдёт инцидент.

Вообще, ФСТЭК признаёт, что законодательство сейчас написано так, что при желании можно найти много дорог и путей его обхода, но ФСТЭК это не очень нравится и число таких обходов будут стараться сокращать.

Особенно ФСТЭК недоумевает, когда на обоснование неотнесения себя к субъектам КИИ организация тратит сил и средств больше, чем нужно на реализацию требований закона. Но, как заметил на встрече Алексей Лукацкий, помимо ФСТЭК есть и смежники, ради "защиты" от которых сил не жалко =)

Пожалуй, это основное, что оперативно хотелось бы отметить. Подождём публикаций/мнений коллег!

Блогеры во ФСТЭК