Проект нового Указа Президента, который расширяет сферу регулирования ФСТЭК

Законодательство

Вчера был выложен проект Указа Президента «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В этой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.

На кого распространяется?

Несмотря на название, которое намекает на то, что Указ касается только госорганов, на самом деле сфера его применения гораздо шире. По сути речь идет о второй попытке ФСТЭК замахнуться на Вильяма нашего, Шекспира все организации, обрабатывающие информацию, обладателем которой является государство. И даже если эта информация обрабатывается в коммерческой организации, но передается в рамках госзаказа или принадлежит государству, то будьте добры попасть под требования нового Указа с момента его вступления в силу.

Учитывая требования по сертификации средств защиты информации, аттестации объектов информатизации, наличия действующей техподдержки на средства защиты и т.п., для многих коммерческих компаний, тесно сотрудничающих с государством, новые требования станут сюрпризом, возможно, неприятным, так как выполнить все эти требования к какому-то облаку на базе K8 в полном соответствии с Agile, будет просто невозможно.

На что распространяется?

Как видно из предыдущего раздела, распространяется Указ на любой государственный информационный ресурс, независимо от того, где он обрабатывается — на стороне госоргана, госкорпорации или даже ИП или SMB, который решил заработать денег на оказании услуг для государства.

Зачем понадобился Указ?

Тут есть две версии — общепринятая и моя личная 🙂 Первая гласит — за последние десятилетия ФСТЭК, а до этого Гостехкомиссия, приняли очень много разных нормативных актов в области защиты информации и наступило (без пробела) время, когда наступила пора провести ревизию написанного и требуемого и по мере возможности синхронизировать все и актуализировать. Но так, чтобы не начинать революцию и не требовать невозможного.

Моя версия заключается в том, что после выхода 250-го Указа, в котором за ИБ неявно стало отвечать Минцифры и ФСБ, ФСТЭК почувствовала, что контроль уходит из рук и надо вновь подняться над приземленными вопросами защиты Linux, безопасности ЗОКИИ, безопасной разработки и т.п., и вступить в межведомственную игру под названием «кто главный». В реальности же правда, как обычно, где-то посередине. Хотя если вы посмотрите текст проекта Указа, Минцифры там не фигурирует от слова совсем.

А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?

Ничего. Все остается как и было раньше; только в ряде случаях в проекте Указа стоит «заглушка», что защита по этим направлениям определяется Правительством и иными уполномоченными органами. То есть по сути речь идет о некоем расширении сферы регулирования и контроля ФСТЭ; без залезания на чужую поляну.

Чем отличается от текущих НПА?

Формально, чего-то совсем нового в проекте Указа нет. Все требования были ранее известны и опубликованы (лицензирование, аттестация, сертификация, устранение уязвимостей, оценка защищенности, взаимодействие с ГосСОПКА и т.п.); просто сейчас они все собраны в одном месте и синхронизированы по терминологии. Ну и расширен круг лиц, на которых требования теперь распространяются.

В чем цель защиты информации по новому Указу?

Как по мне, так тут незаметно произошла революция и регулятор впервые в документе такого уровня заговорил об ущербе, который и надо предотвращать. Учитывая, что в другом месте проекта говорится о необходимости определять недопустимые события, то это явно неслучайно. Второй целью является создание условий для формирования безопасной среды обработки  информации, что тоже отличается от привычной истории с наложенной ИБ.

Кто рулит ИБ в организации?

Вновь повторяется идея из 250-го Указа о том, что за ИБ должен отвечать заместитель руководителя организации. К счастью ни слова об уровне квалификации и наличии высшего профессионального образования такого должностного лица. Но отсылка к 250-му Указу дается в нескольких местах, что вновь напоминает тезис, что проект Указа не пытается ничего менять или заставлять делать с нуля. Скорее речь идет о преемственности ранее принятых в иных НПА мер.

Что с оценкой соответствия требованиям Указа?

Тут ничего нового:

  • для средств защиты — сертификация и наличие техподдержки
  • для объектов информатизации — аттестация
  • для организаций — готовящаяся методика оценки защищенности ФСТЭК, а также требуется ежегодный план мероприятий по ИБ.

Кроме того, говорится о независимой оценке защищенности с привлечением внешних организаций. Но порядок такой оценки еще должен быть установлен Правительством. И это может быть как Bug Bounty, так и обычный аудит по чеклистам, как непрерывный мониторинг, читай, анализ защищенности, так и использование методических документов регуляторов.

Что дальше?

Вообще, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться государственная система защиты информации в новых условиях, в которых Россия оказалась с 24-го февраля 2022-го года. По многим пунктам явно прослеживается, что ФСТЭК планирует выпуск новых документов имени себя или через Правительство. Какими они будут, посмотрим.

Есть ли косяки?

Да, куда уж без них. Если отбросить в сторону тему, что пока не хватает ясности в части реализации многих неплохих идей, то общее замечание к проекту Указа — его «бумажность». Опять многие вещи можно сделать на бумаге и показать их как доказательство исполнения требований. А если так можно, то так и будут делать, в ущерб практической, результативной ИБ. Вот этот момент не доведен до ума, как мне кажется. Если сертификация средств защиты, то давайте добавим обязательную Bug Bounty для всех вендоров, превратив оценку соответствия в публичную и непрерывную историю. Если независимая оценка защищенности, то через Bug Bounty или пентесты с предсказуемым контролем качества и проверкой квалификации пентестеров. Если оценка ущерба, то по четкой процедуре, чтобы нельзя было на вопрос: «Какие у вас недопустимые события?» ответить: «Угрозы конфиденциальности, целостности и доступности». Если создание безопасной среды, то понятный чеклист, что входит в это понятие; с возможной градацией по уровне зрелости безопасности среды (сегментация на минимальном уровне, сетевой zero trust на третьем уровне, прикладной zero trust на пятом, максимальном уровне). Если речь о безопасности среды разработки, то вот четкая, детальная и практичная процедура оценки своей DevSecOps-практики, а не очень высокоуровневый ГОСТ по безопасной разработке.

А что с ответственностью за неисполнение?

А вот тут все как всегда 🙁 Ответственности как таковой нет. У нас вообще Указы Президента — очень странные нормативные правовые акты. Вроде и требуют что-то, но спросишь, что будет за невыполнение, и получишь ответ «ну пожурят вас немного». В худшем случае нагнут по статье 13.12 КоАП «Невыполнение обязательных мер защиты информации» со смешным штрафом в пару десятков тысяч рублей. Это не мотивация заниматься результативной ИБ для многих 🙁 Мне кажется, тут впору всем регуляторам задуматься и договориться. Если уж у нас управление государством все чаще носит характер ручного, через Указы Президента, то надо продумывать и ответственность за отказ их выполнять. Это первые две-три сотни организаций можно вызвать на ковер к Главнокомандующему и строго спросить за несоблюдение мер ИБ. Но что делать с остальными десятками тысяч, которые попадают под проект нового Указа? Вопросы-вопросы-вопросы….

Но в целом, картина с этим Указом получается интересная. Он должен встряхнуть немного отрасль и заставит многих заказчиков, привыкших скрывать свои косяки или валить все на других, повнимательнее относиться к своей реальной ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Серж Горелый

    Ситуация в сфере ИБ всё больше начинает напоминать ситуацию в начале процесса мобилизации на СВО: вроде бы органы соответствующие есть, но их много и каждый отвечает за свой кусочек, которым делиться ни с кем не хочет, а в итоге получается полнейший бардак…с которым в итоге приходиться разбираться ИБшнику.

    Ответить
    1. Алексей Лукацкий автор

      Увы

      Ответить
  2. пофиг

    Очередной мертворожденный…152-еле дышит уже четвертая итерация пошла, КИИ-ну такое, сроки прошли наказанных нет, плодят кучу новых фз, по факту-ноль…
    250-….смешно….это так навскидку…ИБ в россии это боль, комерсам остается делать что обычно и делали-крутится…как мне сказал барыгасосед-мы с государством с 90х, поэтому на все их закидоны мы найдем выход. Так и живем.

    Ответить
    1. Владимир

      Ну так и есть.
      А Госы могли бы дааааавно создать своё и раздать это без оплаты.
      Т.е. сделали, нате пользуйтесь.
      А то всё как обычно, хочешь жить умей вертеться. что бизнес и делает, а там уже ничего личного.

      Ответить
      1. Алексей Лукацкий автор

        А у нас госы что-то свое делают?

        Ответить
  3. Андрей

    Чем отличается от текущих НПА? Ничем?
    Я тут категорически не согласен. Ведь теперь всем ГИСам надо придумывать «Положение по организации средств защиты информации» и согласовывать со ФСТЭК России и ФСБ России (п. 26. Требование, пришедшее прямиком из области защиты ГТ) + «Отчет о выполнении плана мероприятий по защите информации», который также надо предоставлять туда же.
    Безусловно подвижки по негативным последствиям, оценке рисков, независимой оценке эффективности принятых мер — прекрасные идеи, которые в текущих реалиях очень сложно реализовать.

    По части вендорских векторов для PT это прекрасная возможность расширить пул заказчиков, заработать ещё больше и поднять стоимость акций, но для муниципальных ИС (в тех же больницах) это, опять же, нереально (про ГосТех знаем и про дальнейшие планы перенести все ГИСы в облако тоже наслышаны)

    Ответить
    1. Алексей Лукацкий автор

      Написать две новых бумажки — не бином Ньютона. Госы и муниципалы умеют это делать лучше всех. Большинство требований Указа базируется на том, что уже и так известно и требуется. Есть некоторые новые практические идеи — и это хорошо. А то, что вендора ИБ на этом заработают, то да, в этом можно не сомневаться. Любое изменение нормативки — это способ заработат

      Ответить
      1. Дмитрий

        Есть, как Вы называете, требования «бумажной ИБ», но ведь есть и более серьезные:
        — обязательный внешний аудит защиты информации и объектов ИИ в порядке, установленном Правительством (п. 36);
        — использование только сертифицированных СЗИ (п. 24 «Для обеспечения защиты информации должны применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации» — нет никаких оговорок про «установленные случаи». Я правильно понимаю: из этой формулировки следует, что сертификация защиты информации становится сплошной и другие формы оценки соответствия требованиям безопасности в области защиты информации не могут применяться?

        Ответить
        1. Алексей Лукацкий автор

          1. Аудит — это ни о чем. Чисто бумажная проверка по чеклистам. Ничего другого и не будет. Увы.
          2. Да, так как речь идет о государственном ресурсе, то на него распространяются требования, как и для ГИС, то есть только сертификация.

          Ответить
          1. Серж Горелый

            В части касаемой информации государства или государственных органов…
            Есть мнение уважаемых лицензиатов, которые при продлении лицензии МО РФ говорят: вы разрабатываете ВВТ в рамках ГОЗ по госконтрактам с МО РФ, значит вы обрабатываете в своих ИС гос информацию, в том числе и ДСП

          2. Алексей Лукацкий автор

            Да, именно так. Все, что прилетает от государства является его госресурсом

  4. Максим

    Нужно также более четко понимать сферу применения этого Положения.
    Например, распространяется ли оно на коммерческие организации, ИС которых осуществляют взаимодействие с ЕСИА?
    Или которые делают запросы и получают ответы из ведомств (МВД, ФССП и т.д.)?

    Ответить
    1. Алексей Лукацкий автор

      О, это один из самых больных вопросов, что такое информация, обладателем которого является государства 🙂 Тут все зависит от того, как считают все эти ведомства

      Ответить
  5. Дмитрий

    Они зачем-то включили в указ и общедоступную информацию, к которой по 149-ФЗ относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, в том числе открытые данные. Защищать общедоступную информацию, это как? Например много открытых данных ФНС, которые активно используются бизнесом в процедурах KYC и должной осмотрительности. Той же ФНС реализована интеграция сведений из ЕГРЮЛ и ЕГРИП в информационные системы третьих лиц, разработаны API-ФНС для интеграции баз данных ФНС с ИС организаций. И теперь все, кто пользуется такими данными, должны будут применять все предусмотренные указом организационные и технические меры защиты информации?

    Ответить
    1. Алексей Лукацкий автор

      Ну они вроде пишут, что общедоступная инфа защищается в части доступности и целостности

      Ответить
      1. Дмитрий

        Уважаемый Алексей Викторович, для понимания, можете пожалуйста объяснить, что понимается под целостностью и доступностью информации? (если не сложно, то на примере). С конфиденциальностью все понятно, про нее в 149-ФЗ написано. А вот целостность и доступность не раскрываются ни в проекте указа, ни в 149-ФЗ и другой нормативке. Вот компания является потребителем информации какого-то ФОИВ: обменивается с ним видами сведений СМЭВ, или в ЕСИА, или посредством API использую открытые данные, в чем в этих случаях будет заключаться обеспечение целостности и доступности информации?

        Ответить
        1. Алексей Лукацкий автор

          Неизменность данных в процессе передачи — это обеспечение целостности. Если СМЭВ задидосили и передавать данные в нее и принимать из нее нельзя, то это нарушение доступности. Поэтому контрольные суммы или электронная подпись данных (как минимум) — это целостность. А защита от DDoS и резервирование — это доступность.

          Ответить
          1. Дмитрий

            Спасибо за пояснение.