Очередные правки в 239 приказ ФСТЭК. Правила игры меняются.

Очередные правки в 239 приказ ФСТЭК. Правила игры меняются.



    На https://regulation.gov.ru/projects#npa=99311 для общественного обсуждения опубликован проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». У нас есть время до 20 февраля 2020 года, что бы повлиять на формулировки. Призываю активно участвовать в процедуре общественного обсуждения.
name='more'>
    Начнем с пояснительной записки к законопроекту. Надо ведь понять замысел авторов и целеполагание.
      Смотрим:
  Пояснительная записка к проекту приказа Федеральной службы по техническому и экспортному контролю «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239»

    "Изменения направлены на использование в критической информационной инфраструктуре Российской Федерации преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости и безопасности, а также создания условий для продвижения российской продукции. 
   При разработке проекта приказа учтены результаты мониторинга правоприменения приказа ФСТЭК России от 25 декабря 2017 г. № 239  «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
    Вносимые изменения касаются уточнения условий выбора программного обеспечения и оборудования, используемого в составе значимых объектов критической информационной инфраструктуры, а также порядка его принятия к эксплуатации на таких объектах."

   Вопросы: 
   1. Как подзаконный акт может быть направлен на реализацию целей, не отраженных в самом законе. В 187-ФЗ нет никаких упоминаний о "технологической независимости" или "условиях для продвижения отечественной продукции". Если так хочется внести требования в приказ о требованиях по безопасности, то сначала надо внести изменения в 187-ФЗ. И про такие попытки я уже писал в блоге.
   2. Ну какая правоприменительная практика по 239 приказу? С десяток ЗОКИИ на всю страну?

  Вывод: поздравляю, в КИИ новый регулятор - Минпромторг. О перспективах сотрудничества ФСТЭК и Минпромторга в области обеспечения безопасности КИИ рассказано в докладе на ТБ-форуме 2020


  Переходим к тексту законопроекта.
  Полная таблица изменений получилась объемной, для удобства анализа оформлена  в отдельный документ, ссылка     Важное:
  1. Положения пункта 8 изменений, прилагаемых ‎к настоящему приказу, вступают в силу с 1 января 2023 г. Речь про пункты 29.2-29.6 самого проекта Приказа.
  2. Входящие в состав значимого объекта программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации и для 2 категории значимости, а не только 1. И отсрочки не предусмотрено. Каждый год ужесточают требования. В следующем году стоит ожидать распространение  этого требования и на 3 категорию значимости.
   3. Непонятное определение "модернизации ЗОКИИ", данное в п.7 законопроекта. Почему модернизация ЗОКИИ это изменение архитектуры подсистемы безопасности ЗОКИИ?Какое то кривое определение. А, если у меня отдельное ТЗ на модернизацию ЗОКИИ, но без изменения архитектуры подсистемы безопасности, то безопасность не надо обеспечивать?
   4. Теперь обязаны практически проверять как защищены сами средства защиты информации.
   5. Сделали бессмысленной формулировку о возможности использования не сертифицированных СЗИ в ЗОКИИ. Процедуру самостоятельной оценки так усложнили, что субъекту КИИ проще и надежнее требовать сертификации, чем брать на себя все эти проблемы и ответственность. Я придерживался такой позиции и ранее, теперь это явно и формализовано прописано.
   6. Сняли запрет на удаленный непосредственный доступ к ЗОКИИ для обновления и управления "не работниками субъекта КИИ", теперь опасаемся исключительно иностранцев или "неправильных" россиян. Вот здесь для субъектов КИИ начинаются проблемы с проявлением должной осмотрительности. Мало запрашивать всю подноготную подрядчиков, так еще и контролировать изменения в ходе исполнения договора. Механизм не очень понятен, особенно на уровне приказа, а не федерального закона.
    7. Слегка замаскированный запрет на использование зарубежного ПО и оборудования в составе ЗОКИИ любой категории и сразу. Отсрочка не предусмотрена.
  
    Итог: владельцам ЗОКИИ не позавидуешь. Государство меняет правила игры с завидной регулярностью. Мотивацию предусматривает исключительно кнутом штрафами через изменение КоАП.
   На мой взгляд, ФСТЭК поспешил с публикацией таких изменений. Надо было дождаться окончания массового категорирования госучреждений, у которых крайний срок -1 сентября 2020 года. Сейчас прогнозируется массовый уход в занижение категории ОКИИ.
   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности