Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК

Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК
Вчера был выложен проект Указа Президента «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В этой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.

На кого распространяется?

Несмотря на название, которое намекает на то, что Указ касается только госорганов, на самом деле сфера его применения гораздо шире. По сути речь идет о второй попытке ФСТЭК замахнуться на Вильяма нашего, Шекспира все организации, обрабатывающие информацию, обладателем которой является государство. И даже если эта информация обрабатывается в коммерческой организации, но передается в рамках госзаказа или принадлежит государству, то будьте добры попасть под требования нового Указа с момента его вступления в силу.

Учитывая требования по сертификации средств защиты информации, аттестации объектов информатизации, наличия действующей техподдержки на средства защиты и т.п., для многих коммерческих компаний, тесно сотрудничающих с государством, новые требования станут сюрпризом, возможно, неприятным, так как выполнить все эти требования к какому-то облаку на базе K8 в полном соответствии с Agile, будет просто невозможно.

На что распространяется?

Как видно из предыдущего раздела, распространяется Указ на любой государственный информационный ресурс, независимо от того, где он обрабатывается — на стороне госоргана, госкорпорации или даже ИП или SMB, который решил заработать денег на оказании услуг для государства.

Зачем понадобился Указ?

Тут есть две версии — общепринятая и моя личная 🙂 Первая гласит — за последние десятилетия ФСТЭК, а до этого Гостехкомиссия, приняли очень много разных нормативных актов в области защиты информации и наступило (без пробела) время, когда наступила пора провести ревизию написанного и требуемого и по мере возможности синхронизировать все и актуализировать. Но так, чтобы не начинать революцию и не требовать невозможного.

Моя версия заключается в том, что после выхода 250-го Указа, в котором за ИБ неявно стало отвечать Минцифры и ФСБ, ФСТЭК почувствовала, что контроль уходит из рук и надо вновь подняться над приземленными вопросами защиты Linux, безопасности ЗОКИИ, безопасной разработки и т.п., и вступить в межведомственную игру под названием «кто главный». В реальности же правда, как обычно, где-то посередине. Хотя если вы посмотрите текст проекта Указа, Минцифры там не фигурирует от слова совсем.

А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?

Ничего. Все остается как и было раньше; только в ряде случаях в проекте Указа стоит «заглушка», что защита по этим направлениям определяется Правительством и иными уполномоченными органами. То есть по сути речь идет о некоем расширении сферы регулирования и контроля ФСТЭ; без залезания на чужую поляну.

Чем отличается от текущих НПА?

Формально, чего-то совсем нового в проекте Указа нет. Все требования были ранее известны и опубликованы (лицензирование, аттестация, сертификация, устранение уязвимостей, оценка защищенности, взаимодействие с ГосСОПКА и т.п.); просто сейчас они все собраны в одном месте и синхронизированы по терминологии. Ну и расширен круг лиц, на которых требования теперь распространяются.

В чем цель защиты информации по новому Указу?

Как по мне, так тут незаметно произошла революция и регулятор впервые в документе такого уровня заговорил об ущербе, который и надо предотвращать. Учитывая, что в другом месте проекта говорится о необходимости определять недопустимые события, то это явно неслучайно. Второй целью является создание условий для формирования безопасной среды обработки  информации, что тоже отличается от привычной истории с наложенной ИБ.

Кто рулит ИБ в организации?

Вновь повторяется идея из 250-го Указа о том, что за ИБ должен отвечать заместитель руководителя организации. К счастью ни слова об уровне квалификации и наличии высшего профессионального образования такого должностного лица. Но отсылка к 250-му Указу дается в нескольких местах, что вновь напоминает тезис, что проект Указа не пытается ничего менять или заставлять делать с нуля. Скорее речь идет о преемственности ранее принятых в иных НПА мер.

Что с оценкой соответствия требованиям Указа?

Тут ничего нового:

  • для средств защиты — сертификация и наличие техподдержки
  • для объектов информатизации — аттестация
  • для организаций — готовящаяся методика оценки защищенности ФСТЭК, а также требуется ежегодный план мероприятий по ИБ.

Кроме того, говорится о независимой оценке защищенности с привлечением внешних организаций. Но порядок такой оценки еще должен быть установлен Правительством. И это может быть как Bug Bounty, так и обычный аудит по чеклистам, как непрерывный мониторинг, читай, анализ защищенности, так и использование методических документов регуляторов.

Что дальше?

Вообще, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться государственная система защиты информации в новых условиях, в которых Россия оказалась с 24-го февраля 2022-го года. По многим пунктам явно прослеживается, что ФСТЭК планирует выпуск новых документов имени себя или через Правительство. Какими они будут, посмотрим.

Есть ли косяки?

Да, куда уж без них. Если отбросить в сторону тему, что пока не хватает ясности в части реализации многих неплохих идей, то общее замечание к проекту Указа — его «бумажность». Опять многие вещи можно сделать на бумаге и показать их как доказательство исполнения требований. А если так можно, то так и будут делать, в ущерб практической, результативной ИБ. Вот этот момент не доведен до ума, как мне кажется. Если сертификация средств защиты, то давайте добавим обязательную Bug Bounty для всех вендоров, превратив оценку соответствия в публичную и непрерывную историю. Если независимая оценка защищенности, то через Bug Bounty или пентесты с предсказуемым контролем качества и проверкой квалификации пентестеров. Если оценка ущерба, то по четкой процедуре, чтобы нельзя было на вопрос: «Какие у вас недопустимые события?» ответить: «Угрозы конфиденциальности, целостности и доступности». Если создание безопасной среды, то понятный чеклист, что входит в это понятие; с возможной градацией по уровне зрелости безопасности среды (сегментация на минимальном уровне, сетевой zero trust на третьем уровне, прикладной zero trust на пятом, максимальном уровне). Если речь о безопасности среды разработки, то вот четкая, детальная и практичная процедура оценки своей DevSecOps-практики, а не очень высокоуровневый ГОСТ по безопасной разработке.

А что с ответственностью за неисполнение?

А вот тут все как всегда 🙁 Ответственности как таковой нет. У нас вообще Указы Президента — очень странные нормативные правовые акты. Вроде и требуют что-то, но спросишь, что будет за невыполнение, и получишь ответ «ну пожурят вас немного». В худшем случае нагнут по статье 13.12 КоАП «Невыполнение обязательных мер защиты информации» со смешным штрафом в пару десятков тысяч рублей. Это не мотивация заниматься результативной ИБ для многих 🙁 Мне кажется, тут впору всем регуляторам задуматься и договориться. Если уж у нас управление государством все чаще носит характер ручного, через Указы Президента, то надо продумывать и ответственность за отказ их выполнять. Это первые две-три сотни организаций можно вызвать на ковер к Главнокомандующему и строго спросить за несоблюдение мер ИБ. Но что делать с остальными десятками тысяч, которые попадают под проект нового Указа? Вопросы-вопросы-вопросы….

Но в целом, картина с этим Указом получается интересная. Он должен встряхнуть немного отрасль и заставит многих заказчиков, привыкших скрывать свои косяки или валить все на других, повнимательнее относиться к своей реальной ИБ.

Заметка Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК была впервые опубликована на Бизнес без опасности .

Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!