Первомай 2022 года ознаменовался выходом Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" , который сразу вызвал бурное обсуждение на всех медийных площадках. Чем же документ привлек такое внимание?
name='more'>Анализ документа начнем с традиционных вопросов:
1. Кто его должен выполнять?
Ответ: про задачи Правительства или ФСБ не будем говорить.
И так - "Руководителям федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов Российской Федерации, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании федеральных законов, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее - органы (организации)".
1. Руководитель ФОИВ.
2. Губернаторов регионов. Не руководитель каждого органа власти субъекта Федерации будет выполнять Указ, а руководитель Правительства субъекта Федерации.
3. Руководитель Госкорпорации
4. Руководитель стратегического предприятия
5. Руководитель системообразующей организации
6. Руководитель юрлица -субъекта КИИ.
Казалось бы - все четко. Ан нет.
Открываем определение субъект КИИ В 187-ФЗ "субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели". Указ, четко пишет про юрлица - субъекты КИИ.
Получается, что Указ не распространяется на субъекты КИИ, которые государственные органы регионов (ФОИВ попали по п.1), которые государственные учреждения и которые ИП?
Вот интересно, а "являющихся субъектами критической информационной инфраструктуры Российской Федерации" к кому из перечисленных организаций в Указе относятся? Только к юрлицам или ко всем перечисленным? Если ФОИВ не субъект КИИ, то ему надо выполнять Указ?
2. Что надо сделать?
1. Назначить своего заместителя руководителя, ответственного за ИБ. То есть, у нас появляется замминистра по ИБ, замгубернатора по ИБ и т.д. Все на очень высоком уровне. Вот с субъектами КИИ тяжело. Указ не разделяет требования по ЗОКИИ и НОКИИ. Все 500 000 субъектов КИИ в стране выполняют. В принципе, не затратно. Потянем.
2. "создать в органе (организации) структурное подразделение" - заметим, что создать внутри Министерства или внутри Правительства, но не в подведомственной организации. И тут послабление предусмотрено - можно возложить на существующее подразделение. Только вот непонятно что делать с квалификационными требованиями к работникам. Для госорганизаций это серьезное препятствие, поскольку профстандарты Минтруда влияют.
Сложно с субъектами КИИ. Для ЗОКИИ получается уточнение норм 235 приказа, в котором допускалось ограничится специалистом, а не подразделением. Для субъектов с НОКИИ все грустно, к ним вообще требования по защите в законодательстве не предъявлялись ранее. Вот создали они подразделение ИБ для НОКИИ, а делать что им надо? Целый отдел будет извещать НКЦКИ за 24 часа о произошедшем компьютерном инциденте?
Тут еще могут быть неожиданности от Правительства, которое должно к 1 июня выпустить "типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации)".
Но опять же, Указ не налагает обязанности в организации руководствоваться типовым положением.
3. при необходимости привлекать для выполнения мероприятий по ИБ внешние организации, причем эти организации должны быть исключительно лицензиатами ТЗКИ.
А как же гостайна? Как быть с выполнением мероприятий по ИБ, которые не относятся к 4 лицензируемым видам деятельности по ПП79? А, если относятся, то и Указ не нужен, так и так лицензия ТЗКИ обязательна.
4. "принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами ГосСОПКА".
Указ однозначно разделил мероприятия ИБ и мероприятия по "обнаружению, предупреждению и ликвидации последствий КА ". Вот кто бы еще субъекту КИИ разъяснил где у него проходит граница между ИБ и ГосСОПКА. Внешние SOC можно забыть, не смотря на наличие лицензии ТЗКИ. Подозреваю, что самым простым вариантом разделения будет базовая нормативка.
Если выполняете мероприятия по приказам ФСБ - то ГосСОПКА.
Если выполняете мероприятия по приказам ФСТЭК - то ТЗКИ.
5. "обеспечивать должностным лицам органов ФСБ беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет".
Касается только ресурсов, имеющих доступ в Интернет. Здесь будут сложности у ИТ-подразделений субъектов. Задача "обеспечить удаленный доступ" к защищаемому объекту лежит на субъекте. Причем эти ресурсы могут и не принадлежать субъекту, а только использоваться. До выхода порядка мониторинга от ФСБ ничего не прояснится. Пункт Указа потенциально очень тяжелый по исполнению.
6. "обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ и ФСТЭК в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере".
Отсутствие упоминания НКЦКИ несколько упрощает жизнь, но в остальном жесткий пункт. Очень смущает связка "незамедлительно" и "на регулярной основе". Это надо какой то фонд делать в субъекте для финансирования выполнения, раз на регулярной основе. Что делать с закупочными процедурами? Что делать с действующими аттестатами после внедрения новых организационных, а тем более технических мер? переаттестацию проводить?
7. "Органам (организациям), включенным в перечень, определенный в соответствии с подпунктом "б" пункта 3 настоящего Указа, осуществить мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство Российской Федерации.".
Перечень "счастливчиков" Правительство определит только к 1 июня, а к 1 июля уже надо отчитаться в Правительство докладом. То есть за 1 месяц надо провести закупочные процедуры с лицензиатами и полностью завершить работы?
"осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю".
8. "с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними"
Основная проблема для субъекта - переменчивый и непредсказуемый состав производителей СрЗИ. Список недружественных стран меняется. Коммерческие компании покупаются и продаются. Вы сейчас спланировали и перешли с американских СрЗИ на разрешенные и только вздохнули спокойно, как в декабре 2024 года новость в прессе - вашего производителя купила американская компания. Или дипломаты поругались и страна стала не дружественной. По сути, вариант только один нам остается - СрЗИ, внесенные в реестр отечественного производства.
3. В какие сроки надо сделать?
А сроков то и нет фактически. Оценка защищенности до 1 июля 2022 года коснется не всех. Только запрет на использование зарубежного СрЗИ имеет общий характер и четкую дату, так она и не скоро.
4. Какое наказание за неисполнение предусмотрено?
По идее - ч.6 ст.13.12 КоАП.
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
Но тоже есть вопросы:
Указ Президента это не федеральный закон. И сам текст Указа не содержит указаний, что он принят в соответствии с каким либо ФЗ.
Формально - нельзя применить КоАП, нет состава правонарушения.
КИИ-е статьи в КоАП тоже не применимы по формальному признаку.
С дисциплинарной ответственностью вопросов нет. Особенно для ФОИВ или губернаторов.
Но опять же, а кого наказывать?
Указ содержит отдельный пункт "Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций)."
А зачем тогда по Указу заместителя по ИБ назначали? Он за что будет отвечать в организации? Видимо ответ будет в типовом документе от Правительства через месяц.
И нет указания, а какую ответственность? Указ сам не определяет форму ответственности и не содержит ссылки на какой-либо ФЗ (ТК, КоАП, УК, ГК).
Итоги:
Указ не определяет однозначно организации, обязанные его выполнять (возможны спорные ситуации). Не устанавливает срок выполнения большинства поручений. Не устанавливает форму ответственности за невыполнение. Не предусматривает механизм контроля за выполнением Указа, за исключением доклада по оценке защищенности в Правительство для "счастливчиков".
Если посмотреть на другие пункты, то они более интересные.
1. ФСБ добилась права проводить аккредитацию центров ГосСОПКА.
Первая попытка в 2017 году была не удачная.
Проект Указа Президента РФ "О внесении изменений в Указ Президента Российской Федерации от 15 января 2013 г. N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (08.09.2017)
1. Внести в Указ Президента Российской Федерации от 15 января 2013 г. N 31с следующие изменения:
..организует и проводит аккредитацию центров государственной системы на соответствие данным требованиям;"
Осталось дождаться легализации самих "центров ГосСОПКА", а то как то странно проводить аккредитацию того, что в законодательстве не введено однозначно. Подробнее здесь - https://valerykomarov.blogspot.com/2019/11/blog-post_25.html
И судя по всему, мы видим попытку "перезагрузки" проекта под названием ГосСОПКА.
Теперь у ФСБ есть НКЦКИ, аккредитация и право на удаленный мониторинг защищенности инфраструктуры. Начинам жить в ГосСОПКА по новому.
P.S. В «Клубе любителей КИИ» развивается цикл заметок про планирование действий персонала субъекта КИИ в нештатной ситуации (мера ДНС.1). Присоединяйтесь к обсуждению, комментируйте и делитесь опытом, распространяйте полезные наработки.
Нештатные ситуации. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-ot-nas-trebuiut-npa-62058490047813262a1fcf8d
Нештатные ситуации. Что надо сделать? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531
Нештатные ситуации. Что от нас требуют НПА? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470
Нештатные ситуации. Принципы формирования плана действий. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470
Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
