Итоги попыток повлиять на приказы ФСТЭК по КИИ

Итоги попыток повлиять на приказы ФСТЭК по КИИ

      Текущая неделя выдалась насыщенной на новости. ФСТЭК стремится уложится в установленные сроки . И так:
name='more'>
      1.  Приказ № 235 . Странно, но результаты этапа общественного обсуждения не опубликованы, в отличии от более поздних проектов приказов ФСТЭК. Как вариант - причина задержки в поступивших предложениях, которые потребовали дополнительных консультаций.
      2.  Приказ № 236 . Поступившие по итогам общественного обсуждения предложения не приняты, текст проекта приказа по итогам общественного обсуждения оставлен без изменений (с точностью до исправления опечаток).

Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта
Даты проведения общественного обсуждения: 28.02.2019 - 14.03.2019
Предложения участника общественного обсуждения
Комментарии разработчика
1        
Предлагается дополнить пункт 2 Приказа предложением: 
«В случае несоответствия информации, содержащейся на бумажных носителях, информации, содержащейся в электронных копиях, приоритет имеет информация на бумажных носителях». 
Либо исключить обязанность предоставления электронных копий
Учитывая, что сведения, представленные на бумажном носителе, заверены подписью и печатью, они имеют больший приоритет по сравнению с их неподписанной электронной копией
     3. Приказ № 239 . Поступившие по итогам общественного обсуждения предложения не приняты, текст проекта приказа по итогам общественного обсуждения оставлен без изменений.
Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта
Даты проведения общественного обсуждения: 06.03.2019 - 20.03.2019
Предложения участника общественного обсуждения
Комментарии разработчика
Изменениями предлагается заменить слово «действие» словом «эксплуатацию» (п.п. 5 и
6, п. 1 проекта приказа ФСТЭК России
«О внесении изменений в Требования
по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю
от 25 декабря 2017 г. № 239»), при этом ранее по исходному тексту используется словосочетание «опытная эксплуатация»
в различных падежах, полагаю целесообразным и в данном случае уточнить, какая имеется ввиду эксплуатация: опытная или промышленная, постоянная (п.п. 1.11 и
4.10 ГОСТ 34.603-92).
Нецелесообразно, по тексту Требований ясно, что в данных случаях подразумевается промышленная или постоянная эксплуатация
Требование пункта 29.1 применять только к вновь создаваемым объектам КИИ 1 категории значимости. На модернизируемых объектах может применяться ранее используемое программное и программно-аппаратное обеспечение, которое невозможно сертифицировать в ходе модернизации. Распространение требования на модернизируемые объекты создает риск прекращения функционирования ранее созданных объектов КИИ. Оборудование маршрутизации проходят сертификацию в целях подтверждения их устойчивости и безопасности для применения в сети связи общего пользования (ССОП) в соответствии с требованиями постановления Правительства РФ от 29.06.2009 № 532. Установление иных требований к подтверждению соответствия средств связи противоречит части 2 статьи 1 Федерального закона № 184 «О техническом регулировании», создает риски нарушения функционирования ССОП и взаимодействующих объектов КИИ. В качестве дополнительной меры повышения доверия возможно введение процедуры нотификации маршрутизаторов аналогично процедуре для средств связи, в состав которых входят средства криптографической защиты информации
Абзацем вторым пункта 29.1 установлено, что в случае отсутствия технической возможности применения в значимых объектах критической информационной инфраструктуры 1 категории значимости граничных маршрутизаторов, сертифицированных на соответствие требованиям по безопасности информации, функции безопасности граничных маршрутизаторов подлежат оценке на соответствие требованиям по безопасности в рамках приемки или испытаний значимых объектов.
Это положение нейтрализует указанный риск
Пункт 31 изложить в редакции, которая позволит обеспечить техническую поддержку программного и программно-аппаратного обеспечения иностранными производителями в целях исключения прекращения функционирования значимых объектов КИИ, на которых используется иностранное программное обеспечение и оборудование. Повышение уровня доверия возможно за счет включения в абзацы 4 и 5 требования о необходимости наличия контроля доступа третьих лиц со стороны субъекта критической информационной инфраструктуры
В предлагаемой редакции устанавливаются требования по контролю действий и управлению доступом третьих лиц при осуществлении удаленного доступа к программному и программно-аппаратному обеспечению значимых объектов критической информационной инфраструктуры.
При этом возможность технической поддержки программного и программно-аппаратного обеспечения иностранными производителями не исключается, но должно осуществляться под контролем субъекта критической информационной инфраструктуры
Пункт 1, пп.9 приказа вносит изменения в п.29 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239) относительно требуемого уровня доверия для сертифицированных средств защиты информации, в зависимости от категории значимости объекта критической информационной инфраструктуры (КИИ).
Согласно тексту изменения:
«При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия».
Учитывая, что по ГОСТ Р ИСО/МЭК 15408 (и по действующим руководящим документам ФСТЭК России) оценочный уровень доверия (ОУД) 1 – это минимальный уровень доверия, а ОУД7 – максимальный уровень доверия, получается, что для объектов КИИ третьей (минимальной) категории требования к доверию выше, чем объектов КИИ второй и первой категории, что не логично и, с одной стороны, влечет дополнительные затраты на созданий системы защиты объектов КИИ с минимальными требованиями по безопасности, а с другой стороны - возможность использования средств защиты с меньшим уровнем доверия для объектов, требующих повышенной защиты.
Предлагается изложить соответствующий абзац в следующей редакции:
«При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия»
Уровни доверия средств защиты информации и средств обеспечения безопасности информационных технологий установлены Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 30 июля 2018 г. № 131.
В соответствии с пунктом 4 указанных Требований самый низкий уровень доверия – шестой, самый высокий – первый, средства, соответствующие
6 уровню доверия применяются в значимых объектах критической информационной инфраструктуры
3 категории значимости, 5 уровню доверия -
в значимых объектах критической информационной инфраструктуры 2 категории значимости, 4 уровню доверия - в значимых объектах критической информационной инфраструктуры 1 категории значимости

      На второй квартал в п лан-графике  запланированы изменения в КоАП и ФСТЭК анонсировала о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)». 
Разработчик
ФСТЭК России
Краткое описание проблемы
Частью 3 стати 9  Федерального закона от 27 июля 2017 г.  № 187-ФЗ  «О безопасности критической информационной инфраструктуры Российской Федерации» установлено, что субъекты критической информационной инфраструктуры Российской Федерации, которым принадлежат значимые объекты критической информационной инфраструктуры, обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена
Круг заинтересованных лиц
субъекты критической информационной инфраструктуры Российской Федерации
Общая характеристика соответствующих общественных отношений
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации в соответствии с Федеральным законом от 27 июля 2017 г.  № 187-ФЗ  «О безопасности критической информационной инфраструктуры Российской Федерации» и нормативными правовыми актами Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г.  № 187-ФЗ  «О безопасности критической информационной инфраструктуры Российской Федерации»
Обоснование необходимости подготовки проекта нормативного правового акта
Указание Президента Российской Федерации от 13 сентября 2018 г. № Пр-1700, а также План-график подготовки нормативных правовых актов Российской Федерации, направленных на совершенствование обеспечения безопасности критической информационной инфраструктуры Российской Федерации, утвержденный Правительством Российской Федерации 25 октября 2018 г. №8705п-П10.

В соответствии со 
статьей 14  Федерального закона от 27 июля 2017 г.  № 187-ФЗ  «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон) нарушение требований, установленных Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, влечет за собой ответственность в соответствии с законодательством Российской Федерации.  Статей 274.1 Уголовного кодекса Российской Федерации предусмотрена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Частью 3 стати 9  Федерального закона установлено, что субъекты критической информационной инфраструктуры Российской Федерации, которым принадлежат значимые объекты критической информационной инфраструктуры, обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена.

В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами
Планируемый срок вступления проекта нормативного правового акта в силу
Январь 2020
Дата окончания общественного обсуждения
9 апреля 2019 г.
Ответственный за разработку
Кубарев Алексей Валентинович
Адрес электронной почты для отправки предложений участниками обсуждений
otd22@fstec.ru
Дополнительный адрес электронной почты
otd25@fstec.ru
Контактный телефон сотрудника ответственного за разработку
(499)246-1189
 









































































































    4. Вне план-графика инициировано изменение в 17 приказ 
    Изменения, вносимые проектом приказа в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утв. приказом ФСТЭК от 11 февраля 2013 г. № 17):
Действующая редакция,
синим удалено
Предлагается проектом,
красным добавлено
26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:
26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:
В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверияВ информационных системах 2класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.
Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с  подпунктом 13.1 пункта 8  Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г.  № 1085 .
Классы защиты и уровни доверия определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с  подпунктом 13.1 пункта 8  Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г.  № 1085 .
новый пункт 26.1
26.1. При проектировании вновь создаваемых или модернизируемых государственных информационных систем 1 класса защищенности в качестве маршрутизаторов, имеющих доступ к информационно-телекоммуникационной сети «Интернет», выбираются маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности).
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности