Ещё раз о сложностях реализации 187-ФЗ

 Начал писать этот пост год назад по случаю просмотренной записи выступления какого-то представителя ФСТЭК на какой-то конференции, но так и не опубликовал. А тут новый повод – Инфофорум-2023. Год прошёл, а проблемы всё те же. Поэтому решил дописать и опубликовать пост в порядке оказания методологической помощи регуляторам в деле реализации очень важной задачи – обеспечении безопасности критической информационной инфраструктуры государства. Получился микс, но тем не менее.

 Основные, на мой взгляд, проблемы, связанные с реализацией 187-ФЗ:

 1. До сих пор никто толком не понимает, кто является субъектом КИИ, а кто нет, и что такое объект КИИ, а что нет. Эта проблема обусловлена двумя факторами:

1) при формировании определений понятий «субъект КИИ» и «объект КИИ» допущена ошибка, которая называется логический круг: субъект – тот, кто владеет объектом, а объект – то, чем владеет субъект. На удивление, этого круга не видят не только регуляторы, но и «продвинутые» эксперты. Впрочем, это вполне понятно: ни те, ни другие не изучали логику, а если и изучали, то не умеют применять её на практике;

2) незнание «специалистами» законов в области ТЗИ и/или неумение работать с ними. Я имею ввиду не незнание конкретного закона, а незнание хитросплетений российского законодательства. Так, согласно букве российского закона (т.е. буквальной или даже буквоедской трактовки российских законов) сегодня практически все юридические лица (далее – ЮЛ) и индивидуальные предприниматели (далее – ИП) – субъекты КИИ. Почему? Потому что согласно 149-ФЗ «ИС – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств». Следовательно, система «банк-клиент» – информационная система, функционирующая в банковской сфере. Она на законном основании есть у каждого ЮЛ и ИП. Отсюда все ЮЛ и ИП – субъекты КИИ, а все их ИС – объекты КИИ.

2. Судебная практика по 187-ФЗ полностью дискредитировала понятие «КИИ РФ», хотя бы потому, что главные источники угроз КИИ РФ:

- недоучившиеся школьники,

- недобросовестные менеджеры низшего звена,

- медсёстры,

- помощники машинистов

и прочая «мелочь».

При этом не наказан ни один руководитель ни одного субъекта КИИ! Хотя именно они – руководители – виновны в совершении всех без исключения преступлений и по факту, и по закону (и, если исходить из ст. 274.1 УК РФ, должны быть наказаны как минимум на 20% сильнее злоумышленников).

3. Подход к оценке вреда КИИ, как к вреду имущественному – абсурд! Но такой подход имеет место и продолжает обсуждаться и усугубляться. А ведь 187-ФЗ не о безопасности субъекта экономической деятельности, а о безопасности государства. И здесь должен быть совсем другой подход – защита значимых для государства ИС от блокирования их работы и возможности перехвата управления ими со стороны противника.

4. Давно необходима и смена парадигмы управления отраслью с сертификации продукта на лицензирование производителя и с плановых проверок бумаг на расследование инцидентов. Сертификация продукта – дорогостоящий, трудоёмкий и длительный процесс. Пока продукт сертифицируется, он уже устарел и новую версию нужно опять сертифицировать. Вместо этого должны быть лицензированные производители, все продукты которых априори сертифицированы. «Доверенные производители» или «производители доверенного продукта».

5. Предложения ФСТЭК, изложенные в проекте ФЗ «О внесении изменений в КоАП» – очередной индикатор непонимания сущности проблемы работниками регулятора: какова всё-таки цель – защита КИИ или сбор штрафов?  Предлагаемые ФСТЭК меры не ведут к повышению уровня безопасности КИИ. И вообще, своеобразный подход регулятора к проблеме – главная причина на пути решения задачи защиты КИИ РФ. Это наглядно высветил прошедший недавно в Москве форум (и прошлогодний, и нынешний): бизнес ждал конкретных советов и рекомендаций по обеспечению безопасности информационной инфраструктуры в современных условиях, а вместо этого – результаты проверок и сожаления по поводу несвоевременного представления (и представления недостоверной) информации субъектами КИИ. России объявлена кибервойна, а они всё про проверки. Субъектам КИИ нужна помощь, а их пугают штрафами и уголовным наказанием. Враг наказывает тем, что нарушает работу, а свои вместо того, чтобы помочь субъекту (не какому-нибудь, а КИИ), его ещё и штрафуют. 

6. Недостаток в методических рекомендациях по реализации требований 187-ФЗ пытаются компенсировать министерства, ведомства и разные ассоциации. Но их рекомендации по вполне понятным причинам выглядят (скажу мягко) странно. Когда «точать сапоги» берётся «пирожник», ничего хорошего ждать не приходится. А регулятор, который должен быть главным методологическим центром и источником реальных рабочих рекомендаций, талдычит про проверки.

7. Нынешняя ситуация ярко высветила недостатки принятой на сегодня парадигмы. Жизнь как нельзя ярче показала, что главная угроза – это не НСД и не утечка информации, это – нарушение/прекращение деятельности предприятия!

Перейти на новую парадигму по щелчку не получится:

1) системы, выстраиваемые предприятиями годами, в одночасье, тем более без нарушения функционала, перестроить невозможно;

2) перевести АСУ ТП в закрытый контур невозможно, хотя бы потому, что на это нет средств и времени;

3) отказаться полностью (а где и частично) от использования иностранных ПО, железа, мессенджеров невозможно и, опять же, где альтернатива?

4)  импортозамещение – отдельная тема.

8. Подключение предприятий негосударственной формы собственности к ГосСОПКА стоит (огромных) денег. Предприятие – субъект КИИ и его функционирование критично для государства, а подключение к ГосСОПКА – частное и высокозатратное дело самого предприятия. Разве это не странно? Разве не естественно было бы подключить предприятие к ГосСОПКА бесплатно, если оно действительно субъект КИИ? Предприятия наперегонки стали бы слать документы регулятору, а те смотрели бы и отбирали, кто субъект КИИ, а кто нет. Субъект – подключили к ГосСОПКА и помощь 24х7. Не-субъект – защищайся сам. 

Всё просто…