Инфофорум 2020

Инфофорум 2020



   Принял участие в Инфофруме-2020. Подведем итоги, в основном в области КИИ.
1. Выступление ФСТЭК (Лютиков). Качественный доклад, сделан с душой. Презентации не было.


   Доложено: Лидеры по выполнению 187-ФЗ: ТЭК и энергетика, хуже всего выполняют медики и банки. Законопроект по изменению КоАП для КИИ отложен, идет переделка отчета о регулирующем воздействии законопроекта. Единственная мотивация для организаций не игнорировать выполнение 187-ФЗ, уголовная ответственность за инцидент с вредом (ст.274.1 УК РФ). Отмечен низкий уровень подготовки кадров по ИБ в ВУЗах, увязали это с устаревшими программами обучения. Отдельную печаль у ФСТЭК вызывают юристы, которые не понимают что такое ИБ и тормозят нормотворчество ФСТЭК в зародыше.
    Комментарий:
   Открываем Указ Президента Российской Федерации от 16 августа 2004 г. N 1085 раздел "полномочия" и видим  - "разрабатывает и вносит в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации проекты законодательных и иных нормативных правовых актов Российской Федерации по вопросам своей деятельности;". Это стандартная задача для ФСТЭК уже несколько десятков лет. Если возникли проблемы при согласовании с внешними ведомствами, то вопросы должны возникать к юристам ФСТЭК.  Вот даже с проектом КоАП, где теперь приходится регулирующее воздействие пересматривать, даже юристом не надо быть, что бы увидеть существенные недостатки.
   Мной было дано замечание на этапе общественного обсуждения законопроекта "В форме сводного отчета приведена неверная информация об отсутствии метода контроля эффективности избранного способа достижения цели регулирования. Согласно «Сводке предложений по итогам общественного обсуждения проекта нормативного правового акта к Проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)» ID проекта: 01/05/03-19/00089944; Даты проведения общественного обсуждения: 5.04.2019 - 29.04.2019» этими же авторами законопроекта было указано, что  «В случае, если по результатам анализа практики правоприменения Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет установлено невыполнение норм законодательства Российской Федерации о безопасности критической информационной инфраструктуры по причине малых сумм штрафов за соответствующие административные правонарушения, ФСТЭК России будут подготовлены предложения по увеличению сумм штрафов». Таким образом, у ФСТЭК России имеются методы контроля эффективности избранного способа достижения цели законопроекта.". И это замечание принято ФСТЭК, "Информация в сводном отчете будет скорректирована"!
     Касаемо программ обучения в ВУЗах, а как их актуализировать, если у страна продолжает жить по древним методичкам гостехкомиссии, ФСТЭК образца 2008 года, инструкций ФАПСИ и т.д. Нормативку сначала надо обновить.

    2. Выступление НКЦКИ (Мурашов). Ничего интересного не услышал. НКЦКИ продолжает рекламировать интернет-портал  https://safe-surf.ru . К порталу вопросов нет, хороший и полезный ресурс. Вопрос вызывает официальный сайт НКЦКИ, указанный в Приказе ФСБ России от 24.07.2018 N 367. Про сайт "http://cert.gov.ru" молчат.


    3. Выступление Дмитрия Кузнецова формально было не про КИИ, но возникший спор по его итогам с представителем НКЦКИ отразился в дальнейшем на докладе Минэнерго по КИИ. 


      Собственно, доклад Минэнерго получился зажигательным. Докладчик озвучил, что в декабре 2019 министерство неожиданно выявило с помощью ФСТЭК, что огромное количество организаций ТЭК не приступили к выполнению 187-ФЗ. Напомню, что по докладам ФСТЭК, сфера ТЭК второй год в лидерах по выполнению 187-ФЗ. К 25 декабря 2019 года удалось добиться, что бы субъекты КИИ из ТЭК сдали перечни объектов в ФСТЭК, хотя им был установлен срок - к 1 января 2020 года завершить категорирование. Потом докладчик раскрыл организационную часть в министерстве по выполнению 187-ФЗ в отрасли. И вот тут у меня возникли вопросы к докладчику, но модераторы не дали возможность их задать.
  Вопрос 1: а само министерство энергетики создало комиссию по категорированию? на слайдах она не отражена, в докладе не прозвучало ни про комиссию, ни вообще упоминаний о признании Минэнерго субъектом КИИ. Минэнерго -это субъект КИИ?
   Вопрос 2. На какой созданный рабочих орган возложили задачу согласования перечней объектов от подведомственных организаций? В метреках для ТЭК указана общая формулировка про направление в адрес Минэнерго.


    4. Неплохой доклад от Эшелона по методике выполнения 187-ФЗ


    ФСТЭК признала правильность трактовки данных метрекомендаций, но все равно напомнила о месте лицензиатов в процессе категорирования



  Общее впечатление от секции КИИ на Инфофоруме 2020: прошло 2 года, как действует 187-ФЗ, но мы никуда не сдвинулись. До сих пор разжевываются вопросы составления перечней объектов и процедуры категорирования. На этом фоне, удивительно слышать, что "закон взлетел и начал выполняться". Закономерно, но грустно.
   Участвовал в дискуссии на тему ИБ в современном мире на второй день конференции. Запомнилось позицией участников, что единственная возможность воспрепятствовать неблагоприятному воздействию зарубежных организаций в информационном мире, это ограничение собственных граждан в получаемых от таких организаций цифровых услугах.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности