Мы так долго ждали появления хоть какой-то ясности на поле официального нормативного регулирования со стороны одного из главных игрок по теме критической информационной инфраструктуры (КИИ) – ФСБ России, что некоторые даже ведут отсчет в днях, сколько же воды утекло с момента принятия самого пакета федеральных законов о безопасности КИИ. Сейчас же мы наблюдаем включение рога изобилия и на момент написания этой заметки он, похоже, не собирается сбавлять обороты. Пока за один день опубликованы аж 3 штуки, за номерами: 366 , 367 , 368 , все от 24.07.2018. Подробно до самых мельчайших косточек каждый из приказов, без сомнения, разберут уважаемые коллеги-признанные «рупоры» по этой непростой теме, за что им заранее спасибо. Я же хотел бы остановиться на паре моментов, которые лично для меня кажутся весьма занятными.
Во-первых, посмотрим на первые страницы каждого из трех упомянутых приказов: «... в соответствии с пунктом…ФЗ-187…». Как мы знаем, понятие ГосСОПКА, равно как и НКЦКИ (по крайней мере, мне это казалось всегда логичным), а также область их применения несколько шире, нежели законодательство о бКИИ, ведь согласно первоначальной концепции она (ГосСОПКА) должна отвечать за кибербезопасность страны в целом, не ограничиваясь только объектами КИИ. Да и посмотрим на практику: к ней еще задолго до 187-ФЗ с разной степени активности подключались органы власти разного уровня, ведомства и даже частные компании. Так вот, ладно бы в 367, 368 приказах говорилось о перечне и порядке в отношении объектов КИИ, но в таком базовом приказе, как 366 «О создании НКЦКИ» заявляются цели исключительно в рамках 187-ФЗ. Таким образом, остается вопрос, что делать остальным участникам информационного обмена с ГосСОПКОЙ, да и статус самого НКЦКИ оказался несколько суженным.
Во-вторых, снова не появилось ясности по поводу правовых статусов так называемых корпоративных и ведомственных центров ГосСОПКА. Причем ни в отношении КИИ, ни в более широком смысле. По-прежнему, в каждом конкретном случае ведомство, государственный орган или организация согласовывают такой непрямой порядок взаимодействия индивидуально, что мягко скажем не добавляет системности подходу.
Само собой, нужно дождаться выпуска всех так давно ожидаемых приказов по теме от ФСБ, чтобы делать окончательные выводы. Но совершенно очевидно, что плодить две или более ветки нормативного регулирования по одной по сути общей теме (борьба с компьютерными атаками в России), не имеет большого смысла. Может, законодательство о бКИИ просто стало обязательным драйвером и в последствии область действия приказов будет расширена или каким-либо иным образом уточнена.
Оставайтесь на светлой стороне.
