Единая сеть электросвязи и 187-ФЗ

Единая сеть электросвязи и 187-ФЗ

   Согласно план-графика Правительства, в ноябре 2017 года должно было выйти Постановление Правительства [Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационный инфраструктурыk, подготовленное Минкомсвязь и ФСБ. Размещенный проект ПП вызвал бурное обсуждение в интернете и разгромное экспертное заключение Минэконразвития в феврале 2018 года. На Инфофоруме я пытался узнать дальнейшую судьбу данного проекта ПП у представителей ФСБ и Ростелекома, но не очень результативно
https://valerykomarov.blogspot.com/2018/03/blog-post_66.html

    Но работа по устранению замечаний в Минкомсвязи продолжилась.В мае 2018 года была подготовлена очередная версия ПП, которая так же получила отрицательное заключение Минэкономразвития.
name='more'>
   Очень интересное и грамотное заключение. Фактически касается не только проекта ПП от МКС, но и вообще направлено против 187-ФЗ. Впервые увидел в официальных документах попытку осмыслить финансовые затраты на реализацию защиты КИИ. А так же признание, что в бюджетах подобные затраты не предусмотрены вплоть до 2020 года. Актуальная версия проекта ПП и текст отзыва официально опубликованы на  http://regulation.gov.ru/projects#npa=75262

Исх. Заключение об ОРВ 14621-СШ/Д26и от 29.05.2018
ЗАКЛЮЧЕНИЕ об оценке регулирующего воздействия на проект
постановления Правительства Российской Федерации [Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационный инфраструктурыk
Министерство экономического развития Российской Федерации в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. 1318 (далее Правила), рассмотрело проект постановления Правительства Российской Федерации [Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктурыk (далее проект акта), разработанный и направленный для подготовки настоящего заключения Минкомсвязью России (далее разработчик), и сообщает следующее. Проект акта разработан в соответствии с пунктом 6 плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. 187-ФЗ [О безопасности критической информационной инфраструктуры Российской Федерацииk и Федерального закона от 26 июля 2017 г. 193-ФЗ [О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона [О безопасности критической информационной инфраструктуры Российской Федерацииk, утвержденного заместителем Председателя Правительства Российской Федерации А.В. Дворковичем от 28 августа 2017 г. 5985п-П10. Проект акта направлен разработчиком для подготовки настоящего заключения повторно. Ранее проект акта направлялся разработчиком на заключение об оценке регулирующего воздействия письмом от 20 декабря 2017 г. АС-П11-102-30871. Соответствующее заключение, содержащее ряд замечаний, было направлено в адрес разработчика письмом от 6 февраля 2018 г. 2835-СШ/Д26и (далее заключение). В доработанной редакции проекта акта замечания Минэкономразвития России, изложенные в указанном заключении, не были учтены разработчиком в полном объеме. При доработке проекта акта разработчиком также были учтены замечания и предложения операторов связи ПАО [ВымпелКомk, ПАО [МТСk, ПАО [Мегафонk, ООО [Т2 Мобайлk и ПАО [Ростелекомk. По результатам рассмотрения проекта акта и сводного отчета о проведении оценки регулирующего воздействия (далее сводный отчет) установлено, что при подготовке проекта акта процедуры, предусмотренные пунктами 9-23 Правил, не были соблюдены разработчиком в полном объеме. Разработчиком проведены публичные обсуждения проекта акта и сводного отчета в срок с 17 ноября 2017 года по 27 ноября 2017 года. Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на официальном сайте в информационно-телекоммуникационной сети [Интернетk по адресу: regulation.gov.ru (ID проекта акта 02/07/11-17/00075262). Замечания и предложения, поступившие в ходе публичного обсуждения проекта акта и сводного отчета, были включены разработчиком в сводку замечаний и предложений.
      В целях подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России проведены дополнительные публичные консультации по доработанному проекту акта с 7 по 14 мая 2018 года. В ходе публичных консультаций замечания и предложения в адрес Минэкономразвития России не поступали.
     В целях подготовки настоящего заключения 16 мая 2018 г. в Минэкономразвития России была проведена рабочая встреча с представителями Минкомсвязи России и операторов связи.
    По результатам рассмотрения проекта акта и сводного отчета, с учетом результатов рабочей встречи, Минэкономразвития России обращает внимание разработчика на необходимость учета следующих замечаний при доработке проекта акта.

1. Проектируемым регулированием предполагается установить алгоритм взаимодействия субъектов критической информационной инфраструктуры (далее субъекты КИИ) с операторами связи в процессе подготовки, подключения, использования и защиты значимых объектов критической информационной инфраструктуры (далее объекты КИИ). Для реализации указанных процедур предусматривается заключение ряда договоров между субъектом КИИ и оператором связи.
    Так, пунктом 5 проекта Порядка предусматривается заключение договора на выполнение работ по подготовке к использованию ресурсов сети электросвязи.
    Пункт 6 проекта Порядка в целях обеспечения взаимодействия и функционирования значимых объектов предусматривает заключение договора использования ресурсов сети электросвязи.
    В соответствии с пунктами 8-10 проектируемого Порядка оператор связи при поступлении инициативы субъекта КИИ проводит присоединение (подключение) объекта КИИ к единой сети электросвязи, что подразумевает под собой заключение еще одного договора присоединения (подключения).
    Кроме того, пунктом 11 проекта Порядка также предусматривается заключение договора по обеспечению информационной безопасности, который заключается при наличии соответствующей лицензии у оператора связи и по инициативе субъекта КИИ.
   Таким образом, при анализе норм проектируемого регулирования можно сделать вывод, что проектируемое регулирование предполагает заключение 4 различных договоров между оператором связи и субъектом КИИ, что представляется избыточным. Вместе с тем в соответствии с позицией представителей Минкомсвязи России и операторов связи, озвученной в ходе рабочей встречи 16 мая 2018 г., проектируемое регулирование предполагает заключение всего лишь 2 обязательных договоров между оператором связи и субъектом КИИ.
    Учитывая вышеизложенное, Минэкономразвития России считает необходимым уточнить положения предлагаемого регулирования в части заключения различных договоров в целях предотвращения правовой неопределенности и излишних требований, предъявляемых к субъектам КИИ.
2. Проект акта не корреспондирует законодательству о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд и о закупках товаров, работ, услуг отдельными видами юридических лиц.
   В соответствии со статьей 2 Федерального закона 187-ФЗ к субъектам КИИ относятся в том числе государственные органы, государственные учреждения, российской юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки.
    Так, проект акта устанавливает следующий порядок взаимодействия операторов связи и субъектов КИИ, которые в том числе отнесены к государственным заказчикам и отдельным видам юридических лиц, которые обязаны осуществлять закупки товаров, работ и услуг в соответствии с положения Федерального закона от 5 апреля 2013 г. 44-ФЗ [О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нуждk (далее Федеральный закон 44-ФЗ):

- субъект КИИ выступает с инициативой в адрес оператора связи, с намерением о присоединении объекта КИИ (заключение договора) к единой сети электросвязи;
- при поступлении указанной инициативы оператор связи обязан произвести оценку возможности обеспечения целостности и устойчивости функционирования принадлежащей ему сети связи для целей обеспечения взаимодействия объектов КИИ;
- после проведения оценки оператор связи может заключить соответствующий договор, направить мотивированный отказ в адрес субъекта КИИ или сообщить о необходимости принятия мер по повышению целостности и устойчивости функционирования средств и линий связи.
   Учитывая вышеизложенное, а также противоречия проектируемого регулирования и законодательства о контрактной системе, Минэкономразвития России рекомендует разработчику рассмотреть возможность определения особенностей осуществления данного вида закупок в соответствии со статьей 111 Федерального закона 44-ФЗ либо уточнить вводимую проектом акта процедуру взаимодействия субъектов КИИ и операторов с учетом требований законодательства о контрактной системе.
    Аналогичное замечание справедливо в отношении субъектов КИИ, относимых к заказчикам, осуществляющим закупки товаров, работ и услуг в соответствии с процедурами Федерального закона от 18 июля 2011 г. 223-ФЗ [О закупках товаров, работ, услуг отдельными видами юридических лицk (далее Федеральный закон 223-ФЗ).
3. Законодательством в области критической информационной инфраструктуры к субъектам КИИ в том числе могут быть отнесены организации в области связи.
   Таким образом, возможно возникновение ситуации, при которой организация, предоставляющая услуги связи, является одновременно и субъектом КИИ,
и оператором связи. При этом проектируемым регулированием предусматривается,
что использование ресурсов сети электросвязи для обеспечения функционирования значимых объектов КИИ осуществляется исключительно на основании вышеуказанных договоров, заключаемых субъектом КИИ с оператором связи.
    Вместе с тем проектом акта не предусмотрен порядок использования подключения, использования и защиты ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов КИИ в случае, когда оператор связи является субъектом КИИ.
    Кроме того, необходимо отметить, что ряд операторов связи являются субъектами КИИ, относимых к заказчикам, осуществляющим закупки товаров, работ и услуг в соответствии с процедурами Федерального закона 223-ФЗ.
    Минэкономразвития России считает необходимым внести в проект акта дополнения, предусматривающие действия операторов связи в вышеизложенных ситуациях.
4. Согласно статье 2 Федерального закона 187-ФЗ к числу субъектов КИИ могут быть отнесены в том числе организации в сфере здравоохранения и науки.
      В соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения, утвержденного постановлением Правительства Российской Федерации от 8 февраля 2018 г. 127 [Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей значимости объектов критической информационной инфраструктуры Российской Федерации и их значенийk (далее Перечень показателей), объектам КИИ, сбои в работе которых могут повлечь за собой причинение ущерба здоровью одного человека, должна быть присвоена 3 категория значимости.
     Так, по данным статистического сборника Росстата [Здравоохранение в России 2017k, в сфере здравоохранения функционирует 5357 больничных организаций (205 из них в частной собственности), 682 диспансера, 49 больниц скорой медицинской помощи, 19 126 амбулаторно-поликлинических организаций (4168 из них в частной собственности), 652 государственные стоматологические поликлиники. Кроме того, необходимо отметить значительное количество частных организаций, специализирующихся на предоставлении услуг в сфере здравоохранения. Требования проектируемого регулирования будут распространяться на каждую из перечисленных организаций.
     Вместе с тем перед заключением предусмотренных проектируемым регулированием договоров субъект КИИ обязан выполнить ряд требований по обеспечению безопасности значимых объектов КИИ, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. 239 (далее Требования по обеспечению безопасности).
   Для всех вышеперечисленных организаций в случае их отнесения к третьей (минимальной) категории предусмотрено выполнение 94 мер, направленных на обеспечение безопасности для значимого объекта КИИ. Среди названных мер предусмотрены разработка различных политик, применение специализированного оборудования и программного обеспечения. В целях реализации указанных мер субъектам КИИ придется расширять штат сотрудников, заключать соглашения со специалистами в области информационной безопасности.
   Так, пункт ЗИС.34 Требований по обеспечению безопасности предусматривает комплекс мер по защите от DOS, DDOSатак для всех трех категорий объектов КИИ.  Вместе с тем стоимость программного обеспечения, которое позволит реализовать данную меру, является существенной. Так, например, стоимость программного обеспечения [KasperskyCloud DDoS Protectionk, обеспечивающего защиту от DDoS-атак, составляет от 25 630 рублей до 108 240 рублей в месяц за одну лицензию.
   Покупка данного программного обеспечения обеспечит выполнение лишь одной из 94 мер, предусмотренных Требованиями по обеспечению безопасности.
    Затраты на реализацию данных мер будут компенсироваться из бюджетов всех уровней бюджетной системы Российской Федерации и внебюджетных фондов, поскольку значительная часть больниц, поликлиник, а также иных организаций в области здравоохранения является бюджетными учреждениями разных уровней.
     Также необходимо отметить, что бюджетной проектировкой Федерального закона от 5 декабря 2017 г. 362-ФЗ [О федеральном бюджете на 2018 год и на плановый период 2019 и 2020 годовk не предусмотрены указанные расходы.
   В настоящее время на официальных сайтах бюджетных организаций в сфере здравоохранения в сети [Интернетk отсутствует информация о запланированных расходах на мероприятия и меры, направленные на обеспечение безопасности значимых объектов КИИ.
    С учетом существенного объема финансовой нагрузки субъектов КИИ дополнительные затраты могут оказать негативное влияние на ряд отраслей отечественной экономики.
  Учитывая вышеизложенное, Минэкономразвития России в целях реализации регулирования, введенного Федеральным законом 187-ФЗ, подзаконными актами
в его развитие, а также рассматриваемым проектом акта рекомендует провести предварительную оценку необходимых расходов на выполнение Требований
по обеспечению безопасности.
    На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод об отсутствии достаточного обоснования решения проблемы предложенным способом регулирования.
   Кроме того, сделан вывод о наличии в проекте акта положений, вводящих избыточные обязанности, запреты и ограничения для физических и юридических лиц
в сфере предпринимательской и иной экономической деятельности или способствующих их введению, а также положений, приводящих к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности