Уникальность 187-ФЗ

Уникальность 187-ФЗ

   Все чаше слышу от коллег и участников профильных конференций тезис о том, что 187-ФЗ ни чем не отличается от других законов по защите информации. На BISSummit 2018 это прозвучало со сцены, во время 4 панельной сессии.
   На мой взгляд, в 187-ФЗ есть такие "изюминки", которые делают его уникальным для российского законодательства в области ИБ и защиты информации.
1. Активная и наступательная позиция. Не уход в глухую оборону, а агрессивное противодействие компьютерным атакам.

Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры

Принципами обеспечения безопасности критической информационной инфраструктуры являются:

3) приоритет предотвращения компьютерных атак.

2. Появился объект, для которого нет требований по обеспечению безопасности. Не просто отсутствие мер защиты от ФСТЭК, а вообще нет такой обязанности у субъекта КИИ.
Ст.9 п.2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах ...;
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3. Государство считает, что повседневная деятельность субъекта КИИ по эксплуатации не значимого объекта КИИ представляет более существенную угрозу для страны , чем компьютерные атаки злоумышленников.  4. Антикомплайнс. Парадокс - выполнение требований 187-ФЗ приводит к увеличению рисков привлечения субъекта КИИ к уголовной ответственности. 4.1. Выполнение требований по обеспечению безопасности значимых объектов КИИ  с использованием технических средств приводит увеличению количества устройств, нарушение правил эксплуатации которых приводит к применению Ст.274.1. Более того, ФСТЭК высказывал позицию, что технические средства системы безопасности входят в состав объекта КИИ.4.2. При получении информации от субъекта КИИ о компьютерном инциденте, повлекшем нанесение вреда значимому объекту КИИ, НКЦКИ передаст ее во ФСТЭК, а ФСТЭК придет с внеплановой проверкой к субъекту и зафиксирует, что инцидент произошел по причине нарушения правил эксплуатации, повлекших.... ПП 162 
"20. Основаниями для осуществления внеплановой проверки являются:

б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия;".Хотел еще добавить пункт о том, что это первый закон не о защите информации, а о защите железо+информация, но документами ФСТЭК все свелось к банальной защите информации. И дальнейшая работа ФСТЭК по приведению мер защиты из 21/17 приказов в соответствие к мерам из 239 это подтверждает. С 31 приказом это уже произошло. Вот здесь  - ничем не отличается уже 187-ФЗ от других законов.
Итог: в 187-ФЗ авторами (ФСБ) заложен очень здравый подход - пассивные меры защиты информации (ФСТЭК) малоэффективны, они всегда запаздывают и выполняются формально (см.Информационное сообщение ФСТЭК России от 2 июля 2017 г. N 240/22/3171). Главное - вовремя выявить подготовку компьютерной атаки, не важно даже кто цель. То есть, задача закона - обеспечить ГосСОПКа максимальной исходной информацией для успешного ПРЕДОТВРАЩЕНИЯ компьютерной атаки. Осталось оценить эффект от реализации...


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности