На днях Правительство внесло в Госдуму законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», что было для меня достаточно неожиданно. Видимо звезды повернулись так, что было принято решение все-таки законопроект внести и, возможно, принять. Я еще отдельно напишу про этот законопроект, а сейчас мне хотелось бы обратиться к анализу терминологии, которая вызывает у меня очень большие вопросы. Такое впечатление, что авторы законопроекта сами до конца не понимают, что они хотят регулировать и как это все будет соотноситься с уже принятыми нормативными актами.
Например, возьмем простой термин «ГосСОПКА. Вроде бы система уже есть и работает. И нормативка по ней
существует, а с термином какая-то неразбериха. Я взял три документа и сравнил их между собой.
Основы госполитики в области обеспечения безопасности АСУ ТП были приняты еще в 2012-м году и там под ГосСОПКОЙ понимается «структура». В законопроекте по безопасности критической инфраструктуры 2013/2014-го годов это уже «система», а сейчас это «комплекс». Метания может быть и объяснимы, но как можно в принимаемом нормативном акте использовать термин, отличный от уже принятого? Авторы законопроекта по КИИ не знакомы с основами госполитики, который писался в СовБезе?
А вот так выглядит термин «АСУ ТП» в уже принятом приказе №31 ФСТЭК, принятых основах госполитики по защите АСУ ТП и в законопроекте по КИИ. Ну ладно между ФСБ и ФСТЭК классическая межведомственная борьба идет. Но почему не взять термин из основ госполитики? Не понимаю.
А что у нас с термином «критическая информационная инфраструктура»? Да, все верно. Тоже самое. В трех разных редакциях законопроекта (2013-го, 2014-го и 2016-го годов) используется разная трактовка. В первом варианте говорится только об АСУ ТП и обеспечивающих их взаимодействие телекоммуникационных сетей. Спустя год (этот вариант не публиковался) авторы решили привязаться к ущербу, существенно расширив круг лиц, попадающих под понятие КИИ (даже обычный муниципалитет попадал). В финальной версии законопроекта, внесенной в Госдуму в начале декабря, определение возвращается к каноническому (защита АСУ ТП), но расширяется за счет сетей электросвязи.
А кто у нас попадает под понятие «объекта КИИ»? В законопроекте зафиксировано 13 отраслей, которые могут иметь такие критические инфраструктуры. В ДСПшных документах ФСТЭК по КСИИ и в утвержденной СовБезом «Системе признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» было еще 6 сегментов, исключенных из последней редакции законопроекта. Если правоохранительные органы, МЧС и общегосударственные кадастры и БД могут быть отнесены к госорганам, системы спецназначения и системы управления потенциально опасными объектами размазаны по всем отраслям, то исключение темы водоснабжения и гидротехнических сооружений, а также телерадиовещания мне не совсем понятно. Тем более, что те же гидротехнические сооружения явно включены в область действия 31-го приказа.
У этого списка критических инфраструктур есть интересная особенность. Если для большинства систем уже есть разработанные требования ФСТЭК (приказ №31 и приказ №17), то для здравоохранения, кредитно-финансовой сферы и отрасли связи требований пока нет. Для операторов связи требованиями, вероятно, станут уже имеющиеся требования Минкомсвязи, а вот ситуация с медицинскими и финансовыми системами будет очень интересной.
У иностранцев список критических инфраструктур немного иной. Например, в США и Европе к критическим также отнесены пищевая промышленность и отрасль ИТ. Общее правило отнесения отрасли/сектора/объекта к критическим достаточно простое — необходимо иметь значительное влияние на население, экономику или национальную безопасность. При этом критериями «критичность» являются количество, время или качество.
В целом хочется отметить либо явную спешку, в которой вносился законопроект (даже несмотря на четырехлетнюю предшествующую историю), либо авторы сознательно забили на уже принятые нормативные акты и решили перекроить все, что было сделано до этого. Есть, конечно, и третья версия, но ее я озвучивать не хочу. Возможно в финальной версии законопроекта ситуация изменится к лучшему и мы получим все-таки гармонизированную с другими НПА терминологию.
Даёшь импортозамещение путём перевода NISTовского набора!
Все проще: писать проект любого документа поручают конкретному клерку (либо группе клерков). Времени им обычно не дают: все нужно сделать к завтрашнему утру.
Результат их работы должен проходить согласование в различных инстанциях, но вчитываться и сопоставлять термины согласователям, как правило, тоже некогда: пробегают глазами, смотрят, соблюдены ли их интересы, если соблюдены — ставят визу. На терминологию плевать.
К тому же неопределенность в терминах вполне устраивает любого регулятора: при надзоре всегда есть, за что наказать, т.к. хоть один НПА да будет нарушен.
Ну тут не так все-таки. Законопроект уже 4 года как существует. Можно было бы пробежаться глазами за это время
Да, без пищепрома никак, что есть то будем в случае чего?
Судя по законопроекту, никто по нему не "пробегался": некогда было. Да и незачем. ФСБ любит, когда ничего не понятно 🙂