Рекомендации по оценке показателей критериев экономической значимости объектов КИИ от ФСТЭК

Рекомендации по оценке показателей критериев экономической значимости объектов КИИ от ФСТЭК

 


  В феврале случилось неожиданное - ФСТЭК разместила в открытом доступе проект методики расчета экономических показателей категорий значимости объектов КИИ. Документ был анонсирован на ТБ-форуме 2019, было озвучено что документ будет ДСП.
  Прозвучали обещания опубликовать в ближайшее время проект методики для социальных показателей. Странно, но ничего не слышно про третью методику по экологическим показателям, также анонсированную в 2019 году. name='more'>

    Предложения и замечания по проекту методического документа принимаются до 1 марта 2021 г., времени осталось мало. Форма для подачи замечаний приведена -  https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2167-informatsionnoe-soobshchenie-fstek-rossii-ot-16-fevralya-2021-g-n-240-84-18

   Судя по тексту проекта методики, ФСТЭК традиционно считает что рекомендации = обязательным требованиям.

   Очень смущает пункт:

1.6. На основе настоящих Рекомендаций субъектами КИИ по согласованию с ФСТЭК России могут разрабатываться собственные подходы по определению оценки показателей экономической значимости с учетом отраслевой специфики функционирования объектов КИИ.

   Нет в 187-ФЗ и ПП127 никаких требований к субъекту КИИ что то согласовывать из собственных методик категорирования с кем -либо, включая ФСТЭК. Субъект КИИ имеет полное право игнорировать метрекомендации от ФСТЭК и рассчитывать показатели категории значимости в соответствии со своими взглядами и позицией.

  Проект методики по экономическим показателям отличный повод обсудить вопрос экономических издержек  субъекта КИИ на выполнение 187-ФЗ и их целесообразность.


   Исходные данные:

   1. Рассматриваем только затраты на расчет ОДНОГО показателя значимости № 9 "Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической  информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период)"

  2. ФСТЭК требует обязательного расчета этого показателя и утверждает, что он не может быть нулевым. То есть, все субъекты КИИ будут его считать и оформлять.

  3. Количество субъектов КИИ в стране по оценке ФСТЭК - 500 000 организаций.

  4. Расчет показателя № 9 требует по оценке ФСТЭК обязательного привлечения работника финансового отдела (бухгалтерии). Будем считать, что трудозатраты финансиста составят 1 человек/час.

  5. Средняя зарплата в стране в 2020 году составила 49 456 рублей. При режиме 5*8, это 160 рабочих часов в месяц. Один человек/час на 2020 год = 309 руб.

  Считаем:

500 000 *309 = 154 500 000 рублей.

  Организации страны из 13 сфер потратят более 150 млн. рублей только на расчет одного показателя значимости!

 А ради чего? Просто для доказательства ФСТЭКу, что к объекту КИИ применим или не применим данный показатель № 9.

  Предположим, что половина субъектов КИИ владеет исключительно незначимыми объектами КИИ (точные пропорции знает только ФСТЭК, но не раскрывает их).

 Тогда, субъекты КИИ потратили 75 млн.рублей впустую, им не требуется дальше защищать эти незначимые объекты КИИ. Это цена запрета на "нулевой" показатель № 9.

  Да у нас преступники столько ущерба не нанесли КИИ РФ за три года -  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-tri-goda-5ffae131af142f0b1716ee38

  Максимальный ущерб был нанесен в размере - "причинение имущественного вреда указанной организации на сумму 655 034,52 рублей".

  Понятно, что мои рассуждения базируются на очень грубых предположениях о конкретных цифрах. Но связка "неопределенность терминов 187-ФЗ" + "избыточная сложность расчета показателей в ПП127"  = существенные экономические издержки для 13 сфер экономики страны. Просто в силу масштаба и бесполезности для обеспечения безопасности КИИ РФ (незначимые объекты КИИ не требуется защищать). Трудозатраты понесены субъектом КИИ, а защищать в дальнейшем не будем.

   И тратить эти деньги страна будет каждые 5 лет! Ради чего?

  И ведь это мы еще не посчитали затраты на проведение экспертной оценки при распределении ущерба от компьютерной атаки с организации целиком с распределением на конкретные объекты КИИ. Не учли стоимость делопроизводства и почтовых услуг, стоимость проверочных мероприятий - ФСТЭК тоже зарплату получает. И только ОДИН показатель ведь.

  Необходимо срочно вносить изменения в 187-ФЗ и ПП127, для обоснования достаточно Минэкономразвитию задаться вопросом стоимости исполнения 187-ФЗ за прошедшие три года. 

   

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Телевизоры следят за нами, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку в нашем новом Youtube выпуске.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности