Небольшой анализ нового указа. Анализ основан на собственных предположениях и выражает личную точку зрения автора.
Согласно указа: к ГТ отнесены "сведения, раскрывающие меры по обеспечению безопасности КИИ РФ, сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак".
По поводу "сведения, раскрывающие меры по обеспечению безопасности КИИ РФ". По определению из 187-ФЗ, "КИИ РФ", или просто "КИИ" - это объекты КИИ, а также сети электросвязи. Если читать указ влоб, то к ГТ относятся сведения о мерах защиты любых объектов КИИ, в том числе не значимых. Но это не совсем логично и надеюсь так регулятор не думает. По логике можно предположить, что к ГТ относятся сведения по мерам защиты не каждого объекта (пусть и значимого), а всей совокупности объектов КИИ РФ, т.е. сведения, находящиеся в Реестре значимых объектов КИИ, который ведет ФСТЭК и сведения в котором согласно правилам ведения реестра (227-й приказ ФСТЭК) должны защищаться в соответствии с законодательством РФ о ГТ (это явно указано в 227-м приказе).
По поводу "сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак". Оценкой защищенности КИИ РФ по 187-ФЗ занимается ФСБ. А согласно проекта приказа ФСБ (про перечень информации, предоставляемый в ГосСОПКА) ФСТЭК передает в ГосСОПКА информацию из Реестра ЗОКИИ, плюс информацию об отсутствии необходимости присвоения объектам КИИ одной из категорий значимости, плюс информацию о результатах проверок со стороны ФСТЭК. Со стороны субъектов КИИ в ГосСОПКА передается только информация об инцидентах на объектах КИИ, которая сама по себе под определение в указе относимых к ГТ сведений никак не подпадает. В итоге можно предположить, что ФСБ сводит в едином месте (условно в центральной БД ГосСОПКА) всю полученную от ФСТЭК и субъектов КИИ информацию и именно эта совокупная информация в этой БД и подпадает под "сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак" и должна защищаться ФСБ (но не субъектами КИИ) в соответствии с законодательством о ГТ. При этом сведения о результатах проведенных субъектами КИИ (или привлекаемыми ими сторонними организациями) пентестов и других мероприятий по анализу защищенности, под ГТ не подпадают.
Хочется верить, что регуляторы придерживаются такой же здравой логики, по которой к ГТ относятся только сведения в Реестре значимых объектов КИИ и в центральной БД ГосСОПКА. Очень ждем разъяснений со стороны регуляторов (пусть и не официальных, т.к. на официальные у них нет полномочий), чтобы в этом окончательно убедиться.
UPD: Полномочиями по распоряжению указанными сведениями, согласно указу, наделены ФСБ и ФСТЭК. Как подсказали знающие люди, это означает, что по ФЗ "О гостайне" ФСБ и ФСТЭК должны составить детальные ведомственные перечни сведений, отнесенных к ГТ, с указанием степени их секретности. Дальше эти перечни должны быть доведены до сведения организаций, имеющих лицензии на работу с ГТ. Если у вашей организации лицензии на ГТ нет, то в этом случае, в один прекрасный день, в случае необходимости, представители ФСБ/ФСТЭК могут сообщить вам официальным письмом о том, что ваша организация осуществляет деятельность, в результате которой создаются сведения, подлежащие засекречиванию, а значит должна быть получена лицензию на работу с ГТ. Но пока соответствующее официальное письмо (возможно с предварительным неофициальным разъяснительным разговором) от ФСБ/ФСТЭК не поступило, начинать переживать и инициировать процесс получения лицензии на ГТ преждевременно.
Текст указа: http://publication.pravo.gov.ru/Document/View/0001201803020009 Согласно указа: к ГТ отнесены "сведения, раскрывающие меры по обеспечению безопасности КИИ РФ, сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак".
По поводу "сведения, раскрывающие меры по обеспечению безопасности КИИ РФ". По определению из 187-ФЗ, "КИИ РФ", или просто "КИИ" - это объекты КИИ, а также сети электросвязи. Если читать указ влоб, то к ГТ относятся сведения о мерах защиты любых объектов КИИ, в том числе не значимых. Но это не совсем логично и надеюсь так регулятор не думает. По логике можно предположить, что к ГТ относятся сведения по мерам защиты не каждого объекта (пусть и значимого), а всей совокупности объектов КИИ РФ, т.е. сведения, находящиеся в Реестре значимых объектов КИИ, который ведет ФСТЭК и сведения в котором согласно правилам ведения реестра (227-й приказ ФСТЭК) должны защищаться в соответствии с законодательством РФ о ГТ (это явно указано в 227-м приказе).
По поводу "сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак". Оценкой защищенности КИИ РФ по 187-ФЗ занимается ФСБ. А согласно проекта приказа ФСБ (про перечень информации, предоставляемый в ГосСОПКА) ФСТЭК передает в ГосСОПКА информацию из Реестра ЗОКИИ, плюс информацию об отсутствии необходимости присвоения объектам КИИ одной из категорий значимости, плюс информацию о результатах проверок со стороны ФСТЭК. Со стороны субъектов КИИ в ГосСОПКА передается только информация об инцидентах на объектах КИИ, которая сама по себе под определение в указе относимых к ГТ сведений никак не подпадает. В итоге можно предположить, что ФСБ сводит в едином месте (условно в центральной БД ГосСОПКА) всю полученную от ФСТЭК и субъектов КИИ информацию и именно эта совокупная информация в этой БД и подпадает под "сведения, раскрывающие состояние защищенности КИИ РФ от компьютерных атак" и должна защищаться ФСБ (но не субъектами КИИ) в соответствии с законодательством о ГТ. При этом сведения о результатах проведенных субъектами КИИ (или привлекаемыми ими сторонними организациями) пентестов и других мероприятий по анализу защищенности, под ГТ не подпадают.
Хочется верить, что регуляторы придерживаются такой же здравой логики, по которой к ГТ относятся только сведения в Реестре значимых объектов КИИ и в центральной БД ГосСОПКА. Очень ждем разъяснений со стороны регуляторов (пусть и не официальных, т.к. на официальные у них нет полномочий), чтобы в этом окончательно убедиться.
UPD: Полномочиями по распоряжению указанными сведениями, согласно указу, наделены ФСБ и ФСТЭК. Как подсказали знающие люди, это означает, что по ФЗ "О гостайне" ФСБ и ФСТЭК должны составить детальные ведомственные перечни сведений, отнесенных к ГТ, с указанием степени их секретности. Дальше эти перечни должны быть доведены до сведения организаций, имеющих лицензии на работу с ГТ. Если у вашей организации лицензии на ГТ нет, то в этом случае, в один прекрасный день, в случае необходимости, представители ФСБ/ФСТЭК могут сообщить вам официальным письмом о том, что ваша организация осуществляет деятельность, в результате которой создаются сведения, подлежащие засекречиванию, а значит должна быть получена лицензию на работу с ГТ. Но пока соответствующее официальное письмо (возможно с предварительным неофициальным разъяснительным разговором) от ФСБ/ФСТЭК не поступило, начинать переживать и инициировать процесс получения лицензии на ГТ преждевременно.
