понедельник, 23 июля 2018 г.

187-ФЗ: споры не утихают


В сети не утихают споры по поводу 187-ФЗ. Народ волнуется: закон есть, а как его выполнять не очень понятно.
Не волнуются только регуляторы. Вернее, даже не регуляторы, а авторы этого чудо-закона. С их стороны – молчание. Ни тебе «жалкого лепета оправдания» по поводу наличия в законе ну просто огромнейшего количества алогичностей и откровенной ахинеи, ни «грома и молний» по поводу непонятливости народа, ни отеческих наставлений и разъяснений.
НИЧЕГО. ТИШИНА!
Народ же продолжает искать «чёрную кошку», т.е. смысл, в «тёмной комнате», т.е. в 187-ФЗ.
Уверенно заявляю: тех смыслов, которые все ищут в 187-ФЗ, нет!
У этого закона совсем другие замыслы и, следовательно, смыслы.
- Какие?
- Не знаю! Только догадываюсь.
Но сейчас не об этом.
Руководство, несмотря на мой доклад о том, что водоснабжения и водоотведения среди сфер функционирования ИС/ИТКС/АСУ в 187-ФЗ нет и, следовательно, выполнять его требования нам не надо, и что обращаться к регуляторам бесполезно в силу того, что ответ заранее известен – им не предоставлено право разъяснять положения закона, а отнесение/неотнесение к субъектам КИИ – удел самих субъектов, оно (т.е. руководство) поставило задачу – регуляторам написать. Чтобы регуляторам писать, зная всё это, пришлось заново «перелопатить» закон. Дело это для меня нелёгкое. Как только начинаю читать, сразу вижу все его, мягко говоря, огрехи. От этого радости не прибавляется. Только удивление – как же можно такое … писать/принимать, недоумение – как же всё это народ должен будет выполнять, и вопросы: 1) кто всё это писал? и 2) зачем?
В философии есть такое направление – герменевтика. Герменевтика – это совокупность правил и техник истолкования текста. Я не бог весть какой специалист в этой области, но кое-что читал и кое-что слышал. Так вот, базируясь на этих – пусть и не очень глубоких – знаниях, прочитав в очередной раз закон, я сделал вывод, что писал его человек, для которого русский язык не является родным. Несомненно, он вполне сносно говорит и пишет по-русски, но мыслит он совершенно иначе. Скорее всего, автор этого закона – англоговорящий. Либо англичанин/американец, либо русский, долго живший в Англии/Америке. Точно не немец. Немецкий я изучал в школе, вузе, аспирантуре и знаю, как там строятся предложения. Английский/американский не знаю вообще, но иногда пользуюсь кибер-переводчиками и успел заметить некоторые характерные особенности. Так строить предложения, как они построены в 187-ФЗ, ни один русскоязычный человек не способен. Это – шедевры алогичности.
Не думаю, что 187-ФЗ есть перевод какого-нибудь американского закона или НИСТа. Скорее всего, ничего подобного там нет. Если это не так, поделитесь. Сравним.
Если, всё-таки, этот закон писал на 100 % русскоязычный человек – он гений! Гений злой, но, тем не менее, гений. Написать такое … это надо суметь. Накрутить-навертеть такого, что сотни, а может быть и тысячи специалистов разобраться не могут – это дорогого стоит. И, наверное, дорого. Но этого мы не узнаем. Никогда. А может быть и не гений, а его прямая противоположность? Этого мы тоже никогда не узнаем.
Ещё хочу поделиться своими соображениями по декомпозиции некоторых фрагментов текста самого 187-ФЗ.
Наиболее трепещущий для всех специалистов вопрос – кто является субъектом КИИ?
Ответ на него где только не искали. Даже в ОКВЭДах.
Но, если читать закон как положено, то ОКВЭД там вообще не при чём (об этом я уже писал в своём предыдущем посте), а алгоритм формирования ответа на вопрос – является ли юр.лицо/ИП субъектом КИИ? – таков:
1) составляется перечень всех ИС/ИТКС/АСУ;
2) определяется сфера функционирования каждой ИС/ИТКС/АСУ;
3) полученный перечень сфер функционирования ИС/ИТКС/АСУ сравнивается с приведенным в законе;
4) если есть хоть одно совпадение, делается вывод: предприятие – субъект КИИ;
5) осуществляется категорирование всех ИС/ИТКС/АСУ;
6)  сведения обо всех ИС/ИТКС/АСУ отправляется в ФСТЭК;
7) ФСТЭК проверяет, включает в реестр и извещает субъекта.
В этом алгоритме есть две загвоздки:
1 – сфера функционирования ИС/ИТКС/АСУ;
2 – обязанность отправлять перечень всех ИС/ИТКС/АСУ, а не только тех, которые подпадают под определение «значимый объект КИИ», в ФСТЭК. Но «dura lex sed lex»!
Что касается сфер функционирования ИС/ИТКС/АСУ, я неоднократно высказывал просьбы привести хоть одни пример или НПА по «сфере функционирования ИС». И вот, наконец, Валерий Комаров дал ссылку на ПП-447. Я-то думал, что до такого никто не додумается. Ошибся. Додумались. И не где-нибудь, а в Минздраве. Без слёз, приведенное в ПП-447 – антинаучное по своей сути – определение термина «ИС в сфере здравоохранения», читать нельзя. Не повезло здравоохранителям! Зато повезло всем остальным. Если у вас есть заводская поликлиника, а в ней ИС, то она не функционирует в сфере здравоохранения, как некоторые думали, т.к. не подпадает под определение, данное в ПП-447. Повезло и водоснабжению и водоотведению. Сфера такая – водоснабжения и водоотведения – по законодательству РФ есть, а в 187-ФЗ её нет! И водоснабжение с водоотведением ни к транспорту, ни к химии, ни к чему другому отношения не имеют. Это – самостоятельная, в 416-ФЗ «О водоснабжении и водоотведении» прописанная, сфера! Следовательно, все ИС/ИТКС/АСУ, функционирующие в этой сфере, под действие 187-ФЗ не подпадают!
Правда, несмотря на наличие ПП-447, вопрос о том, что такое «ИС/ИТКС/АСУ, функционирующая в сфере», остаётся.
На него никто не хочет давать ответ, несмотря на то, что он ключевой.
ФСТЭКовцы своей выжидательной позицией, сами того не понимая, роют себе глубокую яму. На них лежит основной груз исполнения требований закона: ведение реестра значимых объектов КИИ, проверки правильности категорирования, государственный контроль. В России больше 3 млн. юр. лиц, работающих в перечисленных в 187-ФЗ сферах. И «плясать» они будут от сфер деятельности предприятий, а не от сфер функционирования ИС, потому что не знают, что это такое. У каждого от 10 до 300 ИС. Некоторые специалисты говорят, что ещё больше.
Это, кстати, следствие антинаучного определения понятия «информационная система» в ГОСТах и НПА.
В результате получится от 10 до 300 млн. актов!? Кто сможет «переварить» такое количество хлама? То, что это будет хлам, у кого-то есть сомнения? Формы, которые утвердила ФСТЭК – это нечто. Ничего, кроме хлама, они вызвать к жизни не смогут.
Меня часто обвиняли в том, что, критикуя, я ничего не предлагаю. То, что это не так, я тоже неоднократно писал. Чтобы этого не случилось снова, предлагаю: создать из представителей ФСТЭК и некоторых, к ним приближённых (Вихорев, Лукацкий, Комаров и/или др.), рабочую группу и на примере одного конкретного предприятия «обкатать» технологию составления перечня, актов категорирования, проекта системы обеспечения безопасности объектов КИИ, рассчитать её стоимость и выложить всё это в открытый доступ в Интернете. Это позволит увидеть и, может быть, даже устранить недостатки, имеющиеся сегодня в технологии выполнения требований НПА по обеспечению безопасности КИИ, а, главное, облегчит жизнь всем – и владельцам ИС/ИТКС/АСУ, и ФСТЭК.
ФСБ при любых раскладах ничего не потеряет и получит всё, что запланировало.

Комментариев нет:

Отправить комментарий