Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК

Законодательство

Вчера был выложен проект Указа Президента «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В этой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.

На кого распространяется?

Несмотря на название, которое намекает на то, что Указ касается только госорганов, на самом деле сфера его применения гораздо шире. По сути речь идет о второй попытке ФСТЭК замахнуться на Вильяма нашего, Шекспира все организации, обрабатывающие информацию, обладателем которой является государство. И даже если эта информация обрабатывается в коммерческой организации, но передается в рамках госзаказа или принадлежит государству, то будьте добры попасть под требования нового Указа с момента его вступления в силу.

Учитывая требования по сертификации средств защиты информации, аттестации объектов информатизации, наличия действующей техподдержки на средства защиты и т.п., для многих коммерческих компаний, тесно сотрудничающих с государством, новые требования станут сюрпризом, возможно, неприятным, так как выполнить все эти требования к какому-то облаку на базе K8 в полном соответствии с Agile, будет просто невозможно.

На что распространяется?

Как видно из предыдущего раздела, распространяется Указ на любой государственный информационный ресурс, независимо от того, где он обрабатывается — на стороне госоргана, госкорпорации или даже ИП или SMB, который решил заработать денег на оказании услуг для государства.

Зачем понадобился Указ?

Тут есть две версии — общепринятая и моя личная 🙂 Первая гласит — за последние десятилетия ФСТЭК, а до этого Гостехкомиссия, приняли очень много разных нормативных актов в области защиты информации и наступило (без пробела) время, когда наступила пора провести ревизию написанного и требуемого и по мере возможности синхронизировать все и актуализировать. Но так, чтобы не начинать революцию и не требовать невозможного.

Моя версия заключается в том, что после выхода 250-го Указа, в котором за ИБ неявно стало отвечать Минцифры и ФСБ, ФСТЭК почувствовала, что контроль уходит из рук и надо вновь подняться над приземленными вопросами защиты Linux, безопасности ЗОКИИ, безопасной разработки и т.п., и вступить в межведомственную игру под названием «кто главный». В реальности же правда, как обычно, где-то посередине. Хотя если вы посмотрите текст проекта Указа, Минцифры там не фигурирует от слова совсем.

А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?

Ничего. Все остается как и было раньше; только в ряде случаях в проекте Указа стоит «заглушка», что защита по этим направлениям определяется Правительством и иными уполномоченными органами. То есть по сути речь идет о некоем расширении сферы регулирования и контроля ФСТЭ; без залезания на чужую поляну.

Чем отличается от текущих НПА?

Формально, чего-то совсем нового в проекте Указа нет. Все требования были ранее известны и опубликованы (лицензирование, аттестация, сертификация, устранение уязвимостей, оценка защищенности, взаимодействие с ГосСОПКА и т.п.); просто сейчас они все собраны в одном месте и синхронизированы по терминологии. Ну и расширен круг лиц, на которых требования теперь распространяются.

В чем цель защиты информации по новому Указу?

Как по мне, так тут незаметно произошла революция и регулятор впервые в документе такого уровня заговорил об ущербе, который и надо предотвращать. Учитывая, что в другом месте проекта говорится о необходимости определять недопустимые события, то это явно неслучайно. Второй целью является создание условий для формирования безопасной среды обработки  информации, что тоже отличается от привычной истории с наложенной ИБ.

Кто рулит ИБ в организации?

Вновь повторяется идея из 250-го Указа о том, что за ИБ должен отвечать заместитель руководителя организации. К счастью ни слова об уровне квалификации и наличии высшего профессионального образования такого должностного лица. Но отсылка к 250-му Указу дается в нескольких местах, что вновь напоминает тезис, что проект Указа не пытается ничего менять или заставлять делать с нуля. Скорее речь идет о преемственности ранее принятых в иных НПА мер.

Что с оценкой соответствия требованиям Указа?

Тут ничего нового:

  • для средств защиты — сертификация и наличие техподдержки
  • для объектов информатизации — аттестация
  • для организаций — готовящаяся методика оценки защищенности ФСТЭК, а также требуется ежегодный план мероприятий по ИБ.

Кроме того, говорится о независимой оценке защищенности с привлечением внешних организаций. Но порядок такой оценки еще должен быть установлен Правительством. И это может быть как Bug Bounty, так и обычный аудит по чеклистам, как непрерывный мониторинг, читай, анализ защищенности, так и использование методических документов регуляторов.

Что дальше?

Вообще, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться государственная система защиты информации в новых условиях, в которых Россия оказалась с 24-го февраля 2022-го года. По многим пунктам явно прослеживается, что ФСТЭК планирует выпуск новых документов имени себя или через Правительство. Какими они будут, посмотрим.

Есть ли косяки?

Да, куда уж без них. Если отбросить в сторону тему, что пока не хватает ясности в части реализации многих неплохих идей, то общее замечание к проекту Указа — его «бумажность». Опять многие вещи можно сделать на бумаге и показать их как доказательство исполнения требований. А если так можно, то так и будут делать, в ущерб практической, результативной ИБ. Вот этот момент не доведен до ума, как мне кажется. Если сертификация средств защиты, то давайте добавим обязательную Bug Bounty для всех вендоров, превратив оценку соответствия в публичную и непрерывную историю. Если независимая оценка защищенности, то через Bug Bounty или пентесты с предсказуемым контролем качества и проверкой квалификации пентестеров. Если оценка ущерба, то по четкой процедуре, чтобы нельзя было на вопрос: «Какие у вас недопустимые события?» ответить: «Угрозы конфиденциальности, целостности и доступности». Если создание безопасной среды, то понятный чеклист, что входит в это понятие; с возможной градацией по уровне зрелости безопасности среды (сегментация на минимальном уровне, сетевой zero trust на третьем уровне, прикладной zero trust на пятом, максимальном уровне). Если речь о безопасности среды разработки, то вот четкая, детальная и практичная процедура оценки своей DevSecOps-практики, а не очень высокоуровневый ГОСТ по безопасной разработке.

А что с ответственностью за неисполнение?

А вот тут все как всегда 🙁 Ответственности как таковой нет. У нас вообще Указы Президента — очень странные нормативные правовые акты. Вроде и требуют что-то, но спросишь, что будет за невыполнение, и получишь ответ «ну пожурят вас немного». В худшем случае нагнут по статье 13.12 КоАП «Невыполнение обязательных мер защиты информации» со смешным штрафом в пару десятков тысяч рублей. Это не мотивация заниматься результативной ИБ для многих 🙁 Мне кажется, тут впору всем регуляторам задуматься и договориться. Если уж у нас управление государством все чаще носит характер ручного, через Указы Президента, то надо продумывать и ответственность за отказ их выполнять. Это первые две-три сотни организаций можно вызвать на ковер к Главнокомандующему и строго спросить за несоблюдение мер ИБ. Но что делать с остальными десятками тысяч, которые попадают под проект нового Указа? Вопросы-вопросы-вопросы….

Но в целом, картина с этим Указом получается интересная. Он должен встряхнуть немного отрасль и заставит многих заказчиков, привыкших скрывать свои косяки или валить все на других, повнимательнее относиться к своей реальной ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Серж Горелый

    Ситуация в сфере ИБ всё больше начинает напоминать ситуацию в начале процесса мобилизации на СВО: вроде бы органы соответствующие есть, но их много и каждый отвечает за свой кусочек, которым делиться ни с кем не хочет, а в итоге получается полнейший бардак…с которым в итоге приходиться разбираться ИБшнику.

    Ответить
    1. Алексей Лукацкий автор

      Увы

      Ответить
  2. пофиг

    Очередной мертворожденный…152-еле дышит уже четвертая итерация пошла, КИИ-ну такое, сроки прошли наказанных нет, плодят кучу новых фз, по факту-ноль…
    250-….смешно….это так навскидку…ИБ в россии это боль, комерсам остается делать что обычно и делали-крутится…как мне сказал барыгасосед-мы с государством с 90х, поэтому на все их закидоны мы найдем выход. Так и живем.

    Ответить
  3. Андрей

    Чем отличается от текущих НПА? Ничем?
    Я тут категорически не согласен. Ведь теперь всем ГИСам надо придумывать «Положение по организации средств защиты информации» и согласовывать со ФСТЭК России и ФСБ России (п. 26. Требование, пришедшее прямиком из области защиты ГТ) + «Отчет о выполнении плана мероприятий по защите информации», который также надо предоставлять туда же.
    Безусловно подвижки по негативным последствиям, оценке рисков, независимой оценке эффективности принятых мер — прекрасные идеи, которые в текущих реалиях очень сложно реализовать.

    По части вендорских векторов для PT это прекрасная возможность расширить пул заказчиков, заработать ещё больше и поднять стоимость акций, но для муниципальных ИС (в тех же больницах) это, опять же, нереально (про ГосТех знаем и про дальнейшие планы перенести все ГИСы в облако тоже наслышаны)

    Ответить
    1. Алексей Лукацкий автор

      Написать две новых бумажки — не бином Ньютона. Госы и муниципалы умеют это делать лучше всех. Большинство требований Указа базируется на том, что уже и так известно и требуется. Есть некоторые новые практические идеи — и это хорошо. А то, что вендора ИБ на этом заработают, то да, в этом можно не сомневаться. Любое изменение нормативки — это способ заработат

      Ответить
  4. Максим

    Нужно также более четко понимать сферу применения этого Положения.
    Например, распространяется ли оно на коммерческие организации, ИС которых осуществляют взаимодействие с ЕСИА?
    Или которые делают запросы и получают ответы из ведомств (МВД, ФССП и т.д.)?

    Ответить
    1. Алексей Лукацкий автор

      О, это один из самых больных вопросов, что такое информация, обладателем которого является государства 🙂 Тут все зависит от того, как считают все эти ведомства

      Ответить