Security Lab

Отправил замечания и рекомендации по проекту ФЗ по безопасности критической информационной инфраструктуры

Отправил замечания и рекомендации по проекту ФЗ по безопасности критической информационной инфраструктуры
Подготовил и отправил в ФСБ замечания и рекомендации по правкам проекта Федерального закона РФ “О безопасности критической информационной инфраструктуры Российской Федерации” . Напомню, что они принимаются до 23.08.2013. Посмотрим, будет ли обсуждение как с Приказом ФСТЭК России №21 .

В целом документ мне понравился, критичных замечаний не много, в основном мелкие по тексту.
Вот на что обратил внимание и дал свои рекомендации:
  • Термины и определения. Сейчас в них много неточностей, причем именно в терминах, т.к. дальше по документу используют уже чуть более корректные формулировки.
  • мелкие правки в Основные направления обеспечения безопасности.
  • мелкие правки вЦели и принципы обеспечения безопасности.
  • Оценка защищенности.Сейчас не очень удачно прописано использование технических средств.
  • Аккредитация. На мой взгляд требования к аккредитации организаций завышены. Я понимаю, что для объектов с "высокой" категорией опасности наличие лицензий и допуска к ГТ вполне обоснованно, а вот для "низкой" и "средней" имеет смысл пересмотреть. Уже сейчас на рынке ИБ я замечаю тенденцию оттока хороших специалистов из проектов по ИБ, если требуется допуск к ГТ. Все хотят отдыхать за границей...
  • мелкие правки в Требования по обеспечению безопасности.
  • мелки правки в пункт проГосударственную систему обнаружения, предупреждения и ликвидацию последствий компьютерных атак. Также включил предложение по предоставлению информации в данную систему дополнительно еще от специализированных организаций и экспертных сообществ по ИБ, не имеющих аккредитацию, и предложил вести перечень таких организаций и сообществ.
  • Про срок реализации. Сейчас сроком вступления закона в силу является 01.01.2015, полагаю, что не успеют (будет как с ПДн), т.к. помимо необходимых методических документов от регуляторов, финансирования нужно еще время и на реализацию требований. Не успеют...

Кстати, хороший обзор законопроекта есть в блоге Сергея Борисова . Рекомендую.

А вообще тема безопасности ключевых систем не проста, многие документы регуляторов имеют гриф ДСП или Секретно. Работать с ними не удобно...
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Andrey Prozorov

Информационная безопасность в России и мире