На кого распространяется?
Несмотря на название, которое намекает на то, что Указ касается только госорганов, на самом деле сфера его применения гораздо шире. По сути речь идет о второй попытке ФСТЭК замахнуться на Вильяма нашего, Шекспира все организации, обрабатывающие информацию, обладателем которой является государство. И даже если эта информация обрабатывается в коммерческой организации, но передается в рамках госзаказа или принадлежит государству, то будьте добры попасть под требования нового Указа с момента его вступления в силу.
Учитывая требования по сертификации средств защиты информации, аттестации объектов информатизации, наличия действующей техподдержки на средства защиты и т.п., для многих коммерческих компаний, тесно сотрудничающих с государством, новые требования станут сюрпризом, возможно, неприятным, так как выполнить все эти требования к какому-то облаку на базе K8 в полном соответствии с Agile, будет просто невозможно.
На что распространяется?
Как видно из предыдущего раздела, распространяется Указ на любой государственный информационный ресурс, независимо от того, где он обрабатывается — на стороне госоргана, госкорпорации или даже ИП или SMB, который решил заработать денег на оказании услуг для государства.
Зачем понадобился Указ?
Тут есть две версии — общепринятая и моя личная 🙂 Первая гласит — за последние десятилетия ФСТЭК, а до этого Гостехкомиссия, приняли очень много разных нормативных актов в области защиты информации и наступило (без пробела) время, когда наступила пора провести ревизию написанного и требуемого и по мере возможности синхронизировать все и актуализировать. Но так, чтобы не начинать революцию и не требовать невозможного.
Моя версия заключается в том, что после выхода 250-го Указа, в котором за ИБ неявно стало отвечать Минцифры и ФСБ, ФСТЭК почувствовала, что контроль уходит из рук и надо вновь подняться над приземленными вопросами защиты Linux, безопасности ЗОКИИ, безопасной разработки и т.п., и вступить в межведомственную игру под названием «кто главный». В реальности же правда, как обычно, где-то посередине. Хотя если вы посмотрите текст проекта Указа, Минцифры там не фигурирует от слова совсем.
А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?
Ничего. Все остается как и было раньше; только в ряде случаях в проекте Указа стоит «заглушка», что защита по этим направлениям определяется Правительством и иными уполномоченными органами. То есть по сути речь идет о некоем расширении сферы регулирования и контроля ФСТЭ; без залезания на чужую поляну.
Чем отличается от текущих НПА?
Формально, чего-то совсем нового в проекте Указа нет. Все требования были ранее известны и опубликованы (лицензирование, аттестация, сертификация, устранение уязвимостей, оценка защищенности, взаимодействие с ГосСОПКА и т.п.); просто сейчас они все собраны в одном месте и синхронизированы по терминологии. Ну и расширен круг лиц, на которых требования теперь распространяются.
В чем цель защиты информации по новому Указу?
Как по мне, так тут незаметно произошла революция и регулятор впервые в документе такого уровня заговорил об ущербе, который и надо предотвращать. Учитывая, что в другом месте проекта говорится о необходимости определять недопустимые события, то это явно неслучайно. Второй целью является создание условий для формирования безопасной среды обработки информации, что тоже отличается от привычной истории с наложенной ИБ.
Кто рулит ИБ в организации?
Вновь повторяется идея из 250-го Указа о том, что за ИБ должен отвечать заместитель руководителя организации. К счастью ни слова об уровне квалификации и наличии высшего профессионального образования такого должностного лица. Но отсылка к 250-му Указу дается в нескольких местах, что вновь напоминает тезис, что проект Указа не пытается ничего менять или заставлять делать с нуля. Скорее речь идет о преемственности ранее принятых в иных НПА мер.
Что с оценкой соответствия требованиям Указа?
Тут ничего нового:
- для средств защиты — сертификация и наличие техподдержки
- для объектов информатизации — аттестация
- для организаций — готовящаяся методика оценки защищенности ФСТЭК, а также требуется ежегодный план мероприятий по ИБ.
Кроме того, говорится о независимой оценке защищенности с привлечением внешних организаций. Но порядок такой оценки еще должен быть установлен Правительством. И это может быть как Bug Bounty, так и обычный аудит по чеклистам, как непрерывный мониторинг, читай, анализ защищенности, так и использование методических документов регуляторов.
Что дальше?
Вообще, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться государственная система защиты информации в новых условиях, в которых Россия оказалась с 24-го февраля 2022-го года. По многим пунктам явно прослеживается, что ФСТЭК планирует выпуск новых документов имени себя или через Правительство. Какими они будут, посмотрим.
Есть ли косяки?
Да, куда уж без них. Если отбросить в сторону тему, что пока не хватает ясности в части реализации многих неплохих идей, то общее замечание к проекту Указа — его «бумажность». Опять многие вещи можно сделать на бумаге и показать их как доказательство исполнения требований. А если так можно, то так и будут делать, в ущерб практической, результативной ИБ. Вот этот момент не доведен до ума, как мне кажется. Если сертификация средств защиты, то давайте добавим обязательную Bug Bounty для всех вендоров, превратив оценку соответствия в публичную и непрерывную историю. Если независимая оценка защищенности, то через Bug Bounty или пентесты с предсказуемым контролем качества и проверкой квалификации пентестеров. Если оценка ущерба, то по четкой процедуре, чтобы нельзя было на вопрос: «Какие у вас недопустимые события?» ответить: «Угрозы конфиденциальности, целостности и доступности». Если создание безопасной среды, то понятный чеклист, что входит в это понятие; с возможной градацией по уровне зрелости безопасности среды (сегментация на минимальном уровне, сетевой zero trust на третьем уровне, прикладной zero trust на пятом, максимальном уровне). Если речь о безопасности среды разработки, то вот четкая, детальная и практичная процедура оценки своей DevSecOps-практики, а не очень высокоуровневый ГОСТ по безопасной разработке.
А что с ответственностью за неисполнение?
А вот тут все как всегда 🙁 Ответственности как таковой нет. У нас вообще Указы Президента — очень странные нормативные правовые акты. Вроде и требуют что-то, но спросишь, что будет за невыполнение, и получишь ответ «ну пожурят вас немного». В худшем случае нагнут по статье 13.12 КоАП «Невыполнение обязательных мер защиты информации» со смешным штрафом в пару десятков тысяч рублей. Это не мотивация заниматься результативной ИБ для многих 🙁 Мне кажется, тут впору всем регуляторам задуматься и договориться. Если уж у нас управление государством все чаще носит характер ручного, через Указы Президента, то надо продумывать и ответственность за отказ их выполнять. Это первые две-три сотни организаций можно вызвать на ковер к Главнокомандующему и строго спросить за несоблюдение мер ИБ. Но что делать с остальными десятками тысяч, которые попадают под проект нового Указа? Вопросы-вопросы-вопросы….
Но в целом, картина с этим Указом получается интересная. Он должен встряхнуть немного отрасль и заставит многих заказчиков, привыкших скрывать свои косяки или валить все на других, повнимательнее относиться к своей реальной ИБ.
Заметка
Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК была впервые опубликована на Бизнес без опасности .