Обеспечение технологической независимости КИИ. Результат попытки № 2.1.

Обеспечение технологической независимости КИИ. Результат попытки № 2.1.

 


    В среду 27 января 2021 года заканчивается этап общественного обсуждения нормативно-правововых актов , разработанных для выполнения Указа Президента РФ об обеспечение технологической независимости КИИ РФ (проект). Призываю проявить активную гражданскую позицию и направить свои замечания и предложения разработчикам, пока есть законная возможность повлиять. Потом будет поздно возмущаться.

name='more'>

Начало -  https://valerykomarov.blogspot.com/2021/01/2.html

Сложившаяся ситуация является результатом наших замечаний при первой попытке Минцифры провести все документы одним пакетом. Так как это нарушение процедуры, то Минцифре пришлось разбивать на пакет с проектом Указа и пакет с проектом НПА.

Вопросов в проекту НПА возникло очень много.

   1. Поскольку декларируемая цель проекта Указа и ПП обозначена как обеспечение экономической безопасность объектов КИИ, что подразумевает связанность с экономической деятельностью субъектов КИИ, то на проекты НПА распространяется Федеральный закон от 31.07.2020 N 247-ФЗ "Об обязательных требованиях в Российской Федерации"? Все таки НПА окажут существенное влияние на экономическую деятельность 500 000 субъектов КИИ. 

   2. Срок «подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции»  реальный? С учетом текущего статуса проекта Указа. Уже январь практически закончился.

   3. Кто наделил Правительство полномочиями по контролю за выполнением Порядка? Президент в Указе поручил только разработать  Порядок и Требования. В 187-ФЗ ничего не предусмотрено. 

   4. Минцифры и Минпромторг собирается контролировать выполнение Порядка в отношении СрЗИ ЗОКИИ и средств ГосСОПКА? Зачем вообще включили эти пункты про системы безопасности ЗОКИИ и ГосСОПКА? Непонятно о каких требованиях, утверждаемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ Российской Федерации идет речь в Порядке. Об уже действующих (Приказ ФСТЭК № 239) или ФСТЭК России должна разработать новые требования по обеспечению технологической независимости такого оборудования и ПО? Об уже действующих (Приказ ФСБ № 196) или ФСБ России должна разработать новые требования по обеспечению технологической независимости такого оборудования и ПО? Если о действующих приказах ФСТЭК России и ФСБ России, то они обязательны к применению согласно прямому указанию в 187-ФЗ и не требуют дублирования в проекте ПП РФ.

   5. Кто и как определяет «аналогичность иностранного ПО, используемого на ОКИИ»? По каким методикам и на основе каких критериев?

   6. Аналоги необходимо подбирать только для иностранного ПО и оборудования, а для отечественного и не включенного в реестры?

   7. Требования распространяются на отечественное, но не включенное в реестры? Или про любое (отечественное + зарубежное)?

   8. «Под преимущественным использованием понимается приоритетное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции при наличии соответствующих российских аналогов» - определение термина дается через другой термин, который никак не разъяснен в Порядке. Чем отличается «приоритетное» от «преимущественное»? Какой показатель перехода на отечественные аналоги из реестров показывает, что субъект КИИ выполнил требования указа? 100%, 80% или 50%. Если замена на 100%, то как понимать разъяснения Минцифры к проекту Указа «Проект указа направлен на преимущественный переход на отечественное ПО/оборудование, а не безусловную замену всего иностранного ПО/оборудования»

   9. Что такое происходящее из зарубежных стран? Импортированное через таможню или включает поставки от российских «дочек» зарубежных производителей?

  10. Нам предлагают прочитать требования? На предмет чего проводить анализ требований, утвержденных ПП?

«провести анализ: Требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, утвержденных постановлением Правительства Российской федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – Требования);»

  Замечаний намного больше, в заметке отразил самые наглядные.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности