Итоги общественной активности по инициативам ФСТЭК в области КИИ в 1 квартале 2020 года

Итоги общественной активности по инициативам ФСТЭК в области КИИ в 1 квартале 2020 года
            
        Начало года выдалось активным на нормотворчество ФСТЭК. Есть интересные моменты по ее результатам в первом квартале.
name='more'>
            1. На этапе общественного обсуждения проекта изменений в 239 приказ ФСТЭК  https://valerykomarov.blogspot.com/2020/03/239.html  мы проявили политическую слепоту и упустили злостный коррупциогенный фактор, внесенный авторами проекта. Хорошо, что есть отдельная процедура независимой антикоррупционной экспертизы.
Заключение независимого эксперта к Проекту приказа Федеральной службы по экспертному и техническому контролю Российской Федерации «О внесении изменения в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по экспертному и техническому контролю Российской Федерации от 25.12.2017 № 239»
"ВПроекте приказе присутствует корруппиогенный фактор: злоупотребления правом заявителя государственными органами, органами местного самоуправления или организациями (их должностными лицами) (подпункт «б» пункта 4 Методики проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов, утвержденного постановлением Правительства Российской Федеращи от 26.02.2010М> 96)."
Итог: принятая версия документа будет отличаться от ранее опубликованной.

        2. Инициатива ФСТЭК по изменению своих полномочий
  https://valerykomarov.blogspot.com/2020/03/blog-post_9.html  вызвала недоумение в сообществе ИБ, видимо это и послужило причиной низкой активности на этапе общественного обсуждения.
   
   Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта
    Наименования проекта: Проект Указа Президента Российской Федерации «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085»
ID проекта: 01/03/02-20/00099909 
  Даты проведения общественного обсуждения: 28.02.2020-13.03.2020
   Все замечания отклонены, аргументация ФСТЭК в таблице.
   Вывод: гармонизация законодательства ФСТЭК не интересует. Как сформулировали поручение Правительства, так в Указ и вносим.


Предложения участника общественного обсуждения
Комментарии разработчика
1. Подпункт 13.3 конкретизирует п. 13 Положения. При этом, п.13 содержит упоминание исключительно "объекта информатизации" и не содержит упоминаний о государственных информационных системах.
Представленный на обсуждение проект представляет собой не законопроект, а проект указа Президента Российской Федерации Постановление Правительства Российской Федерации от 3 февраля 2012 г. № 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
не определяет понятие объекта аттестационных испытаний, в связи с чем вывод о необходимости внесения изменений в указанное постановление Правительства не обоснован.
Формулировка вносимых изменений соответствует формулировке, приведенной в поручении Правительства
от 16 января 2020 г. № МА-П10-187.
149-ФЗ указывает, требования к ГИС распространяются на муниципальные информационные системы. Необходимо дополнить законопроект в части МИС.
Аттестацию проводят организации-лицензиаты ТЗКИ. В Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (вместе с "Положением о лицензировании деятельности по технической защите конфиденциальной информации") указано-
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
- защищаемых помещений;
Законопроект противоречит используемым в действующем Постановление Правительства определениям объекта аттестационных испытаний. Определение "объект информатизации" дано в ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
"объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров." Принятие законопроекта в текущем виде потребует внесения изменений в Постановление Правительства и переоформление действующих лицензий, что экономически не обоснованно.
Дублируется с уже действующими полномочиями ФСТЭК в части "издает нормативные правовые акты, разрабатывает и утверждает методические документы по данному вопросу", так как деятельность по аттестации относится к области противодействия иностранным техническим разведкам и технической защиты информации. Достаточно существующих пунктов № 3 и № 4 в Положение о ФСТЭК.
п.13 Положения ФСТЭК не подразумевает полномочия по контролю за исполнением. Необходимо дополнить п. 8 Положения ФСТЭК.


P.S. ФСТЭК обновила раздел "Контакты" на своем официальном сайте. Наглядно о распределении сфер КИИ по сотрудникам в 8 управлении ФСТЭК.




* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности