15 Августа, 2013

Отправил замечания и рекомендации по проекту ФЗ по безопасности критической информационной инфраструктуры

Andrey Prozorov
Подготовил и отправил в ФСБ замечания и рекомендации по правкам проекта Федерального закона РФ “О безопасности критической информационной инфраструктуры Российской Федерации” . Напомню, что они принимаются до 23.08.2013. Посмотрим, будет ли обсуждение как с Приказом ФСТЭК России №21 .

В целом документ мне понравился, критичных замечаний не много, в основном мелкие по тексту.
Вот на что обратил внимание и дал свои рекомендации:
  • Термины и определения. Сейчас в них много неточностей, причем именно в терминах, т.к. дальше по документу используют уже чуть более корректные формулировки.
  • мелкие правки в Основные направления обеспечения безопасности.
  • мелкие правки вЦели и принципы обеспечения безопасности.
  • Оценка защищенности.Сейчас не очень удачно прописано использование технических средств.
  • Аккредитация. На мой взгляд требования к аккредитации организаций завышены. Я понимаю, что для объектов с "высокой" категорией опасности наличие лицензий и допуска к ГТ вполне обоснованно, а вот для "низкой" и "средней" имеет смысл пересмотреть. Уже сейчас на рынке ИБ я замечаю тенденцию оттока хороших специалистов из проектов по ИБ, если требуется допуск к ГТ. Все хотят отдыхать за границей...
  • мелкие правки в Требования по обеспечению безопасности.
  • мелки правки в пункт проГосударственную систему обнаружения, предупреждения и ликвидацию последствий компьютерных атак. Также включил предложение по предоставлению информации в данную систему дополнительно еще от специализированных организаций и экспертных сообществ по ИБ, не имеющих аккредитацию, и предложил вести перечень таких организаций и сообществ.
  • Про срок реализации. Сейчас сроком вступления закона в силу является 01.01.2015, полагаю, что не успеют (будет как с ПДн), т.к. помимо необходимых методических документов от регуляторов, финансирования нужно еще время и на реализацию требований. Не успеют...

Кстати, хороший обзор законопроекта есть в блоге Сергея Борисова . Рекомендую.

А вообще тема безопасности ключевых систем не проста, многие документы регуляторов имеют гриф ДСП или Секретно. Работать с ними не удобно...
или введите имя

CAPTCHA
Peter
16 Августа, 2013
На мой взгляд ограничение доступа к нормативным документам по ИБ должно радовать безопасника. Работать не удобно не потому, что они под грифом, а потому, что компания экономит на организации соответствующего документооборота и т.д. 25 лет проработал с сов.секретно и никаких неудобств не почувстовал. Первое дело в безопасности - это секрет. Странно, что безопасник огорчается. Отток спецов из организаций когда требуется оформить допуск к гостайне разве обусловлен тем, что они станут невыездными? А далее становится интересно. Это пример, когда открытая информация в совокупности раскрывает секрет. Вот Вы о себе в блоге пишите, что ездите и будете ездить по всему миру. В данном же сообщении об отправке в ФСБ замечаний по ФЗ ... Вы сетуете, что работать с секретными документами не удобно. Это с чьих-то слов или собственный опыт? Если с чужих слов - то как-то несерьезно для серьезного эксперта, значит, свой опыт. Секретно - это категория гостайны. У Вас есть допуск к ГТ? Если Да, то получается, что допуск не накладывает ограничений на выезд за границу, значит не это причина оттока спецов. Если нет - то кто ж Вам дал документы с гостайной? И как они у вас в компании хранятся? Вот так разведчики и засвечиваются ☺. Так же и защищаемая информация утекает. Но это не главное. Главное, что есть критические замечания к проекту ФЗ, будет хороший закон, который может быть будут выполнять кто угодно ...
0 |
Юрий
16 Августа, 2013
А на мой взгляд - вполне может и не радовать. Документы регуляторов (обычно) являются ДСПшными. Это значит, что в электронке их не получить. Что они платные. Что между запросом и получением вожделенного томика проходит какое-то солидное время. Секретности в ДСП нет - форма допуска на них не нужна. Купить их может практически кто угодно. А геморрою добавляет. ДСП - это вообще крайне странная штука, напоминающая КПП с рентгеном для прохода на территорию даже без забора. Ну и в целом - позиция "у нас есть такие (...), но мы вам о них не расскажем" крайне странна. Такие документы описывают минимальные требования к защите. Не стоит раскрывать реальную информацию про реальный объект. Это да. Но в целом - любой мелкий лавочник должен иметь возможность узнать, чему он должен соответствовать (это я в контексте устаревшего уже четырехкнижия ФСТЭК по персданным - тоже в свое время ДСП). А вот когда ему для этого знания надо цыганочку с выходом исполнить - это не дело.
0 |
19 Августа, 2013
Даже ДСПшные документы крайне не удобны в работе. 1. Не лицензиатам ФСТЭК их не продают. 2. Даже если лицензия есть, то купить их не так-то просто. Обычно затягивается на месяцы... 3. Я уже не говорю про копирование и пересылку документов и пр. "запрещенные" операции с ними
0 |
19 Августа, 2013
Peter, позволю себе прокомментировать многие из Ваших утверждений: "На мой взгляд ограничение доступа к нормативным документам по ИБ должно радовать безопасника." Не правильно, если документ имеет открытый доступ, то его могут обсуждать и вносить существенные правки эксперты. По такому пути уже давно пошли различные международные ассоциации. Так, можно обсуждать последние версии COBIT 5,проекты стандартов (например, обновление 27001) и другие (NIST). А понимаю, что к некоторым документам имеет смысл ограничивать доступ, например (планы по внедрению СЗИ, схемы сети и пр.). Но документы типа "общие рекомендации" и "Критерии отнесения по степени опасности" я бы точно оставил общедоступными. Это как было с 4х книжием по ПДн, убрали общие требования по ПЭМИН и документы потеряли гриф ДСП, работать стало удобнее. Кстати, вспомните еще про Правило Кирхгофа из криптографии (знание алгоритма не должно влиять на его безопасность). "Работать не удобно не потому, что они под грифом, а потому, что компания экономит на организации соответствующего документооборота" Да, толковый документооборот облегчает задачу, НО если документы открытые, то их обрабатывать и удобнее и дешевле. "Первое дело в безопасности - это секрет." Это зависит от отрасли и задач безопасности. В случае с КСИИ приоритет отдается ДОСТУПНОСТИ информации на данных объектах. А например, для многих банков, приоритет будет отдаваься ЦЕЛОСТНОСТИ. "Отток спецов из организаций когда требуется оформить допуск к гостайне разве обусловлен тем, что они станут невыездными?" Это одно из опасений, вторая причина - неудобно работать. ДА, за работу с ГТ доплачивают деньги, но обычно они не окупают последующие сложности. "Ездите и будете ездить по всему миру", "Это с чьих-то слов или собственный опыт?" "У Вас есть допуск к ГТ?" . Да, езжу и работать с ГТ не собираюсь, максимум с ДСП. В свое время мне хватило 3 формы. Также прекрасно понимаю, что такое 2 и 1 форма, но уже со слов своих коллег и руководителей. Часто работаю и с лицензиатами по ТЗКИ, общаюсь с лицензиатами по ГТ. Единственное о чем жалею из ГТ, дак это о том, что не читал СТР.
0 |
47345
16 Августа, 2013
Все хотят отдыхать за границей....
А на Родину, которая в опасности, этим "всем" вобщем то пох. ДА и не нужны они тогда, если из за невыезда за рубеж готовы менять работу. Для них гостайна - это вопрос цены а не совести. А за ценой страна, которая имеет печатный станок вожделенных зелёных, точно не постоит, если нужно будет.
0 |
19 Августа, 2013
Ну, тут конкретный выбор каждого конкретного гражданина. По личным наблюдениям, большинство отдают выбор в пользу личного благополучия, а не страны...
0 |
Sandra
17 Августа, 2013
Sandra
.Как бы высоко ни летал орел, а все равно на камень сядет..
0 |
Miguel
18 Августа, 2013
Miguel
.Встреча — начало расставания..
0 |