Размышления о проекте Положения о ГСЗИ в развитие Указа Президента РФ от 01.05.2022 № 250 и комментариями к нему

1 мая 2022 года Президент Российской Федерации издал Указ № 250, направленный на усиление информационной безопасности (ИБ) на объектах критической информационной инфраструктуры (КИИ). Для этого предлагается создать Государственную систему защиты информации (ГСЗИ).

Указ касается многих: начиная с таких гигантов как «Росатом», «Газпром», «Русгидро», РЖД, и касаясь в итоге каждого юридического лица, являющегося субъектом КИИ и подпадающим под действие Федерального закона от 26.07.2017 № 187-ФЗ. И этот Указ уже вступил в силу. А в конце января 2023 года в развитие этого Указа появился проект нового Указа «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».

Эксперты уже начали в сети его обсуждение. Наш эксперт, Вихорев Сергей, не смог остаться в стороне. Публикуем его размышления на тему проекта нового Указа и комментариев специалистов по этому поводу. Сохранен авторский стиль изложения.

Размышления о проекте Положения о ГСЗИ и комментариями к нему.

***

Каждому гарантируется свобода мысли и слова. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.
Конституция Российской Федерации,
статья 29


В последнее время, с началом специальной военной операции, а также приостановки деятельности в России иностранных поставщиков, НКЦКИ[1] ФСБ России фиксирует многократный рост компьютерных атак. По данным экспертов число кибератак на российские компании в первые месяцы 2022 года выросло в четыре раза по сравнению с тем же периодом 2021  года[2]. Усложнение ландшафта угроз и новые реалии рынка требуют комплексного подхода к кибербезопасности, включающего расширенные системы обнаружения и реагирования на сложные кибератаки.  

Оперативно реагируя на сложившуюся ситуацию, Президент издал 1 мая 2022 года Указ, направленный на усиление информационной безопасности на объектах критической информационной инфраструктуры. Для этого предлагается создать (возродить?) государственную систему защиты информации. Указ касается многих: от таких гигантов как «Росатом», «Газпром», «Русгидро», РЖД, до каждого юридического лица, являющегося субъектом КИИ и подпадающим под действие Федерального закона от 26.07.2017 № 187-ФЗ. И Указ уже вступил в силу.  

А в конце января 2023 года в развитие этого указа для обсуждения в доступе появился проект нового указа «Об утверждении Положения о государственной системе защиты информации в Российской Федерации»[3].

И, естественно, сразу же в сети появились и комментарии экспертов. Каждый имеет право на свое мнение. Это правильно и справедливо. Вот и я решил внести свою лепту и высказать свое мнение и не только по самому Положению, но и по тем мнениям, которые уже есть, без ссылки на экспертов, так как мнения бывают разные. Например…

Есть мнение…

А мнение (подчеркиваю, сугубо частное мнение эксперта!) такое, что это Положение нужно ФСТЭК для того чтобы вступить в межведомственную игру под названием «кто главный». На мой взгляд, это не так. ФСТЭК России и ФСБ России здесь отводится чисто техническая роль (см. п.9 Положения), которая сводится к  организации (читай – обеспечению) деятельности всей ГСЗИ[4], устанавливанию требований о защите информации и осуществлении контроля за обеспечением защиты информации. 

Положение четко определяет составные части ГСЗИ и, самое главное – кто за что отвечает. И вот здесь, важнейшая функция – координация деятельности органов, организаций по вопросам защиты информации на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях – отдана не ФСТЭК России, ни ФСБ России, а специальной системе МВК[5] по ИБ[6] (см. п.16 Положения). 

Во главе стоит МВК по ИБ Совбеза РФ, затем МВК по ИБ федеральных округов, потом МВК по ИБ субъектов РФ и так далее до самого низа. Вот и получается, что уровень организации обеспечения информационной безопасности подняты на совершенно иной, высший уровень: на уровень Совбеза РФ и решения принимаются коллегиально и межведомственно. Это как раз и может привести к единству подходов по информационной безопасности. И тут как раз проявляется второе существенное мнение…

Зачем?...

Мол, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться ГСЗИ, явно прослеживается, что планируется выпуск новых документов. И да, и нет. 

По поводу «да» я уже сказал: документ поднимает ИБ на новый уровень, придает ему наивысший ранг под эгидой Совбеза РФ. Это не рамочный документ, это документ, который определяет структуру, задачи этой системы, а также функции, которые должны быть реализованы субъектами в нее входящими. Не будем забывать, что указ, впрочем, как и закон, это документ определяющий отношения между субъектами, он не затрагивают и не должны затрагивать технические нормы и требования. 

Отсюда действительно следует, что должны быть и подзаконные акты, в том числе и по методике оценки ущерба, и по проведению оценки эффективности принятых мер защиты, и по проведению независимой оценки, и по оценке DevSecOps-практики. А вот должны это быть новые или уже существующие документы – это вопрос. 

Лично я не вижу острой необходимости разработки каких-то новых технических требований. Нормативная база сейчас уже есть и она обширна. Поэтому и Положение акцентирует свое внимание не этих технических вопросах, а на ответственности за создание и управление такой системы на объекте. А что такое ответственность и есть ли таковая?

Ответственность…

Определена ли ответственность? Здесь, как говорится в бессмертной цитате из комедии Гайдая, «с людями надо помягше, а на вопросы смотреть ширше». 

Сначала посмотрим что такое ответственность. Согласно юридической науке любое деяние (это действие или бездействие), приводящее к негативным последствиям должно иметь виновного, который и несет всю полноту ответственности. Негативные последствия в Положении (и тут я полностью соглашусь с комментариями других экспертов) определены: (1) ущерб (риски) обладателям информации и (2) отсутствие безопасной среды обработки  информации. 

Но все эти последствия могут наступить только в результате каких-либо деяний конкретного виновного.  А законодательных норм, описывающих составы таких деяний – множество и они описаны и в УК РФ и в КоАП РФ. Ведь ущерб может быть причинен, например в результате мошеннических действий (ст. 159 УК РФ) или халатности сисадмина (ст 293 УК РФ), который своевременно не прверил ресурс на вирусы. 

И, как это не цинично звучит, статья 13.12 КоАП «Невыполнение обязательных мер защиты информации» не самое главное, это всего лишь «паровозик» к основным статьям. В данном случае невыполнение предписанных организационных и технических мер защиты способствуют совершению более серьезного противоправного деяния. 

И возложение Указом президента РФ № 250 и повторение этой дефиниции в проекте Положения на руководителя организации персональной ответственности за создание и управление системой защиты как раз и позволяет рассматривать это лицо как причастное к более серьезным деяниям. 

Ну, и корме того, нельзя исключать и положительного эффекта от превентивного репрессивного воздействия именно за нарушение установленных требований по защите, которые еще не привели к тяжким последствиям, но могут к ним привести. Вот здесь в полный рост возникает ст. 13.12 КоАП, как самостоятельный состав противоправного деяния при создании безопасной среды обработки информации.

Общедоступная информация…

Учитывая, что в соответствии с ФЗ-149 к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, в том числе открытые данные, многие задаются вопросом: «Защищать это как?»

Я уже много лет назад писал по этому поводу. Наверное кто-то забыл, а кто-то не читал. Позволю себе себя же процитировать (из старого, но актуального): 

Вот представьте, захотели вы побольше узнать о руководителе страны. Открываете официальный сайт и читаете: «Президент – уникальная разновидность стерхов (белый журавль), эндемик северных территорий России, находятся под угрозой исчезновения и внесены в международные списки Красной книги Всемирного союза охраны природы и конвенции по международной торговле САЙТС, а также Красной книги России. В настоящее время численность популяции вида оценивается  в одну особь. Крупная птица, клюв длинный, красный, на конце пилообразно зазубренный. Оперение белое, ноги длинные, красновато-розовые». Вы сразу же: «Ах! Ох! Как это может быть! Кто такое написал! Это же международный скандал! Подать сюда Тяпкина-Ляпкина!». И прямиком к администратору сайта. А тот в ответ: «А че? Я ниче. Это кто-то влез на наш сайт и правильный текст заменил, а кто влез и как – не знаю». 

Вот и получается, что если кто-то несанкционированно сможет изменить открытые информационные ресурсы органов государственной власти, находящиеся в свободном доступе для граждан и юридических лиц и содержащие официальную информацию о деятельности этих органов, будет нанесен существенный вред не только субъекту, но и целому государству!» 

Ну а теперь обращу внимание на дефиницию Положения (ст.1): «…общедоступная информация, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование». Заметьте, речь идет об открытой информации госорганов и муниципалов. 

А это уже юрисдикция ФЗ-8 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», где в ст. 13 дан конкретный перечень такой общедоступной информации. 

А еще есть постановление Правительства РФ от 10.07.2013 г. № 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления …» 

Да еще каждый госорган обязан разместить в Интернете перечень общедоступной информации, которой он будет делиться. Так что, например, получение сведений ФНС из ЕГРЮЛ и ЕГРИП в информационные системы третьих лиц по разработанным API-ФНС вряд ли можно отнести к открытым сведениями госорганов, так как они предоставляются, как правило, на основании договоров для вполне определенных целей и, тем самым, ограничены в распространении.

***

Это, конечно, не все комментарии, но остальное оставляю Вам, для размышления…

01.02.2023
С. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»


[1] - Национальный координационный центр по компьютерным инцидентам

[2] - https://habr.com/ru/news/t/657473/

[3] - https://regulation.gov.ru/projects#npa=135259

[4] ГСЗИ – Государственная система защиты информации Российской Федерации

[5] МВК – Межведомственная комиссия

[6] ИБ – Информационная безопасность

Репост

Свяжитесь с нами

119435 г. Москва, ул. Малая Пироговская, 16
Контакты
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике
Связаться с нами

Заполните форму ниже и наши специалисты свяжутся с вами в ближайшее время

Удобное время для звонка
  • 10:00 - 12:00
  • 12:00 - 14:00
  • 14:00 - 16:00
  • 16:00 - 18:00
  • 18:00 - 19:00
Время московское
Отвечаем с понедельника по пятницу
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике